这种情况使 Windows 系统管理员无法通过一种简便的方法利用常见的脚本语言来自动化常用的系统管理任务,因为大多数脚本语言都不能直接调用 Win32 API。...最好的一点是,系统管理员可以使用 WMI 脚本库创建系统管理脚本,从而管理任何通过 WMI 公开的 Windows 资源! ...通过WMI访问远程计算机需要注意几点: 1。首先确保使用的用户名和密码正确,且用户有管理员权限。用户的密码不能为空。 2。检查目标机上DCOM是否可用。...如果目标加入了域,则在域服务器不可用的情况下会报“当前没有可用的登录服务器处理请求”的错误,此时局域网共享也将失效。...在本地机器命令行上执行命令:net use \\ /user: ,将返回具体的错误号: 错误号5,拒绝访问 : 很可能你使用的用户不是管理员权限的,先提升权限; 错误号
与使用NTLM进行身份验证的所有协议一样,有权访问加入域的计算机的计算机帐户的攻击者可以调用域控制器来计算NTLM会话密钥,从而模拟服务器。...默认情况下,服务器将试图加载用户配置文件。如果远程用户不是目标系统上的本地管理员,则需要使用该选项 (默认设置将导致错误)。...然后在域环境下的话,我们还是使用kerberos吧 ? 我们可以利用一个非常著名的WMI类,Win32_Process,可通过利用来生成(远程)进程执行命令。...注意:我们需要添加好路由或使用代理把MSF带入内网中 如果已获取本地管理员凭据,则可以使用这些凭据通过WinRM服务与其他主机进行身份验证。 以下模块可以确定本地管理员凭据是否对其他系统有效。...Metasploit还有一个模块,可以通过WinRM服务执行任意命令。 该模块需要本地管理员凭据,域和目标主机。 auxiliary/scanner/winrm/winrm_cmd ?
Psexec被众多安全厂商加入查杀黑名单后,近几年,通过调用WMI来进行远程操作的工具也屡见不鲜。(WMI是一项Windows管理技术,通过它可以访问、配置、管理几乎所有计算机资源。)...,服务端通过服务启动相应的程序执行命令并回显数据 运行结束后删除服务 psexec的使用前提: 对方主机开启了 admin共享,如果关闭了admin共享,会提示:找不到网络名 对方未开启防火墙 如果是工作组环境...有了WMI,工具软件和脚本程序访问操作系统的不同部分时不需要使用不同的API;相反,操作系统的不同部分都可以插入WMI 由于刚刚提到的PsExec在内网中大杀四方后,很多安全厂商开始将PsExec加入了黑名单...使用 wmic 远程执行命令,在远程系统中启动 Windows Mannagement Instrumentation 服务(目标服务器需要开放 135 端口,wmic 会以管理员权限在远程系统中执行命令...举例来说,将能够访问网络上所有关键服务器的管理员划分为第0级,将工作站管理员划分为第2级,那么即使黑客窃取到了关键服务器管理员的凭证,以管理员身份也无法登录关键服务器。
可以通过以下方法修改远程系统上LocalAccountTokenFilterPolicy 条目的值,使得非 Administrator 的本地管理员建立连接时也可以得到具有管理员凭证的令牌,即可正常通过各种方式远程执行命令...smbexec smbexec 是基于 psexec 修改的程序,加入了参数来指定默认共享,可以在目标为开启 admin$ 共享但开了其它共享时使用。...推荐使用 wmic 进行远程执行命令。 常用命令 在远程系统上执行 bat 脚本 wmic /node:192.168.17.138 /user:test /password:!...wmiexec WMI 可以远程执行命令,大牛使用VBS脚本调用WMI来模拟 psexec 的功能,于是乎 WMIEXEC 就诞生了。基本上psexec 能用的地方,这个脚本也能够使用。...sc 常用命令 建立 ipc 连接(参见net use + at)后上传等待运行的 bat 脚本到目标系统上,创建服务(开启服务时会以system 权限在远程系统上执行 bat 脚本) sc \\192.168.17.138
wmiexec.exe的目录下,因为程序在运行时会调用它,因为在python脚本中有对wmiexec进行引用。...在使用sc命令横向渗透时,首先也得先建立ipc链接,将要运行的服务拷贝过去目标主机,创建服务:sc \\192.168.3.144 create cmd binpath="c:\cmd.bat"发现可以为目标主机创建服务...通过查询大量的资料,发现在使用sc命令时,有两个个鸡肋就是不允许将bat做成服务运行,一般的exe也都不行,因为做成服务的可执行文件,它的代码编写是有固定格式的,这个exe程序服务需要提前准备好,因为要根据自己的需求编写...139、445端口,或者被防火墙屏蔽 (4)输出命令、账号密码有错误 建立IPC常见的错误代码 (1)5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限 (2)51:网络问题,Windows...,目标删除ipc$ (5)1219:提供的凭据和已经存在的凭据集冲突,说明已经建立了IPC$,需要先删除 (6)1326:账号密码错误 (7)1792:目标NetLogon服务未启动,连接域控常常会出现此情况
一旦为 DC$ 帐户生成证书,攻击者就可以使用它在域控制器上执行任意操作,例如检索 Kerberos 帐户的哈希值以创建金票并建立域持久性或转储域管理员的哈希值并建立与域控制器的通信通道。...它可以通过提供标准用户凭据并使用配置 NTLM 中继的系统 IP 和 CA 的 IP 地址来执行。...如果在域控制器而不是不同的服务器上部署证书颁发机构而没有采取预防措施,那么即使没有凭据访问网络也可能导致域受损。...在 Mimikatz 中执行以下命令将创建另一个会话作为用户“管理员”。...但是,需要注意的是,该攻击仅在“ WebClient ”服务在域控制器上运行时才有效。默认情况下未安装此服务,因此直接执行该工具不太可能产生预期结果。
利用这个连接,不仅可以访问,目录机器中的文件,进行上传,下载等操作,还可以在目标机器上运行其他命令,以获取目标机器的目录结构、用户列表等信息。...错误号67:找不到网络名,包括lanmanworkstation服务未启动、IPc$已被删除。 错误号1219:提供的凭据与已存在的凭据集冲突。...在域环境中,用户登录计算机时使用的大都是域账号,大量计算机在安装使用相同的本地管理员账户和密码,因此,如果计算机的本地管理员账号和密码也是相同的,攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。...使用mimikatz进行票据传递 使用横向移动神器mimikatz可以将内存中的票据导出来,首先在目标机器上以管理员权限运行下面的命令,就可以直接导出一堆不同主机的票据信息(KIRBI文件),从中选择一个目标系统自己的...(顺便说一下,直接在黑客机器上也能拿到目标机器的票据~) 在目标机器上以管理员权限,输入命令,获得票据 将票据移动到黑客机器上 ? ? ? ?
通过这个连接,可以实现在被连接的目标机器上搞文件上传、下载、命令执行…… 关于IPC$+计划任务的横向,我们的目的非常明确: (1)首先建立向目标主机的IPC$连接 (2)其次把命令执行的脚本传到目标主机...我们可以通过at命令通过跳板机在目标主机DC上创建计划任务,让计算机在指定的时间执行木马程序,从而获得对内网目标主机的控制。...,服务端通过服务启动相应的程序执行命令并回显数据•1.运行结束后删除服务 psexec的使用前提: •对方主机开启了 admin共享,如果关闭了admin共享,会提示:找不到网络名•对方未开启防火墙•如果是工作组环境...有了WMI,工具软件和脚本程序访问操作系统的不同部分时不需要使用不同的API;相反,操作系统的不同部分都可以插入WMI 由于刚刚提到的PsExec在内网中大杀四方后,很多安全厂商开始将PsExec加入了黑名单...使用 wmic 远程执行命令,在远程系统中启动 Windows Mannagement Instrumentation 服务(目标服务器需要开放 135 端口,wmic 会以管理员权限在远程系统中执行命令
前提条件:已取得webserver服务器普通域用户权限 简单使用ms14-058提权后,得到sysytem权限 域信息收集-目标&用户&凭据&网络 shell net user /domain...)) mimikatz logonpasswords Ladon Adfinder BloodHound 当目前为止,收集到了域内存活主机以及webserver上的hash密码 域横向移动...拷贝要执行的命令脚本到目标主机 3. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本 4....服务未启动,目标删除ipc$ (5)1219:提供的凭据和已存在的凭据集冲突,说明已建立IPCKaTeX parse error: Expected 'EOF', got '#' at position...93: …账号策略,强制定期更改密码 #̲建立IPC失败的原因 (1)目…共享 (3)对方未开启139、445端口,或者被防火墙屏蔽 (4)输出命令、账号密码有错误 域横向移动-IPC-插件版-CS
原文中提到如果目标运行了一个Powershell示例,则无法启动脚本,笔者未遇到,均正常运行 ?...具体存储在系统哪里,保存在注册表中,结构未域凭据+域授权信息,后面就直接用 “凭据” 来代表 “凭据信息” + “授权信息”。...创建一个脚本shadow.txt,脚本内容如下: set set alias 执行以下命令: 最后记得在交互式的diskshadow中清楚创建的卷影: With Credentials 使用impacket...如果未配置,则项不存在,此处启用允许分配默认凭据,服务器列表的值为TERMSRV/*(这个值实际上就是SPN),另外系统的默认分配凭据的组策略在注册表中路径为HKEY_LOCAL_MACHINE\SYSTEM...手动开启分配票据 可能遇到的目标未启用分配凭据,如何启用分配票据: RDP链接过去直接改组策略,并修改服务器的值为* cmd下使用reg命令修改注册表,并修改服务器的值为* "*" "* #如何恢复 reg
$ net group "Enterprise Admins" /domain # 查询管理员用户组 定位域管 参考:定位域管理员 概述 在一个域中,当计算机加入域后,会默认给域管理员赋予本地系统管理员权限...通过SMB从远程服务器提取进程列表,可以知道目标主机运行哪些软件。...PowerView PowerView是一款依赖powershell和WMI对内网进行查询的常用渗透测试脚本,集成在powersploit工具包中,是一个收集域信息很好用的脚本。...一个典型的域权限提升过程,通常围绕着收集明文凭据或通过Mimikatz提权等方法。...在获取了管理员权限的系统中寻找域管理员登录进程,进而收集域管理员的凭据。
此技术避免了直接使用域控制器进行身份验证的需要,因为它可以以域管理员的权限在任何机器上运行。 lsadump::dcsync /domain:pentestlab.local /all /csv ?...通过从现有的Meterpreter会话运行脚本,可以实现相同的输出。 ? 使用PWDumpFormat: ?...WMI 可以通过WMI远程提取NTDS.DIT和SYSTEM文件。此技术使用vssadmin二进制文件来创建卷影副本。...fgdump fgdump可提取的LanMan和NTLM密码哈希值。如果已获取本地管理员凭据,则可以在本地或远程执行。...在执行期间,fgdump将尝试禁用可能在系统上运行的防病毒软件,如果成功,则会将所有数据写入两个文件中。
如果已经掌握管理员权限帐户的凭据,则可以通过某些横向移动技术进行另一种绕过,因为UAC是单一的系统安全机制,并且在一个系统上运行的进程的权限或者完整性在横向系统上是未知的,并且默认其为高度可信的。...它依靠WMI服务进行本地和远程访问,并依靠SMB( 服务器消息块 )和RPCS( 远程过程调用服务 )进行远程访问。RPCS通过端口135运行。...如使用WMI的功能订阅事件并在事件触发时执行任意代码,从而在系统上设置持久化后门。攻击者可能会通过将WMI脚本编译到Windows管理对象(MOF)文件(扩展名为.mof)中来逃避对此技术的检测。...如: pwdumpx.exe gsecdump Mimikatz、Mimikatz2 同样可以通过使用Reg命令从注册表中提取凭据文件,然后使用Creddump7在处理来获取凭证。...使用Windows内置的工具ntdsutil.exe Invoke-NinjaCopy 组策略首选项(Group Policy Preference)文件 组策略首选项(GPP)是允许管理员创建带有嵌入式凭据的域策略的工具
atexec.py:此示例通过Task Scheduler服务在目标计算机上执行命令,并返回已执行命令的输出。...wmiexec.py:通过Windows Management Instrumentation使用的半交互式shell,它不需要在目标服务器上安装任何服务/代理,以管理员身份运行,非常隐蔽。...raiseChild.py:此脚本通过(ab)使用Golden Tickets和ExtraSids的基础来实现子域到林权限的升级。...在此模式下,对于每个中继的连接,稍后可以通过SOCKS代理多次使用它 karmaSMB.py:无论指定的SMB共享和路径名如何,都会响应特定文件内容的SMB服务器 smbserver.py:SMB服务器的...WMI wmiquery.py:它允许发出WQL查询并在目标系统上获取WMI对象的描述(例如,从win32_account中选择名称) wmipersist.py:此脚本创建、删除WMI事件使用者、筛选器
文章来源:pentestlab 在拿到域管理员权限之后,都会提取所有域用户的密码哈希进行离线破解和分析。...在 Meterpreter 会话中运行脚本,可以实现相同的输出: ? 使用 -PWDumpFormat 参数: ?...exeonly.zip 如果已经获得本地管理员凭据,则可以在本地或远程执行。...在执行期间,fgdump 将尝试禁用可能在系统上运行的防病毒软件,如果成功禁用则将结果保存在文件中,如果失败,则不进行提取,防止被检测,使用方法直接在域控上运行即可: fgdump.exe ?...总结 本文整理了各种工具,以各种方式提取 NTDS 中的所有域哈希,最好的方式就是在 DCSync 和离线提取,尽量不要在域控服务器上执行过多操作,以免对目标造成可用性上的威胁。
提权 Windows在Vista系统开始引入UAC账户控制体系,分为三个级别: 高:完整的管理员权限 中:标准用户权限 低:很低的权限 即使当前用户是本地管理员,双击运行大部分应用程序时也是以标准用户权限运行的...4.2模块使用说明 官方说明如下: l 对于任何没有引号的服务路径问题 l 对于ACL配置错误的任何服务(可通过service_ *利用 ) l 服务可执行文件上的任何不当权限(可通过service_exe...发现有域用户在此服务器上登陆,此时我们可以窃取域用户身份,然后进行横向移动,首先先来窃取身份,使用命令pth,这里的ID号就是creds下的CredID号,我们这里来窃取administrator...可以看到进程号为1380,使用steal_token PID命令就窃取了该身份令牌了,如下图所示。 ? 同样我们也可以在通过PS命令查看当前进程,查看是否有域用户的进程,如下图所示。 ?...在MSF上设置监听,命令如下,运行后,就可以收到Empire反弹回来的shell了,如下图所示。
在Windows域环境下,身份验证服务和票据授予服务可同时运行在任何可写域控服务器上。...大多数Active Directory管理员使用用户帐户登录到其工作站,然后使用RunAs(将其管理凭据放置在本地工作站上)或RDP连接到服务器运行Mimikatz读取密码,收集密码尝试登录管理员机器一般只要域管理员登录过的机器抓取都可以获取域控了...获取系统SAM文件等 使用VSS卷影副本(通过WMI或PowerShell的远程处理)远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件,支持远程执行(需要管理员权限).WMIC是在远程计算机上执行命令的...此命令也可以通过WMI或PowerShell的远程执行。 ? ?...其实我认为组策略也相当于远控,可以把配置脚本让域内的每一台电脑都种上马批量执行一遍。 或者每周在所有域上运行Mimikatz获取明文密码,以及获取某种类型文件这要通过编写脚本实现。
通过在端口 135 上使用远程过程调用 (RPC) 进行远程访问(以及稍后的临时端口)进行通信,它允许系统管理员远程执行自动化管理任务,例如远程启动服务或执行命令。...image.png image.png 所以我们看到,即使通过 WMI,尽管 wmic.exe 能够通过 Powershell 在目标上运行命令,但仍会创建命名管道,那么为什么首先要创建命名管道呢...WinRM Windows 远程管理允许管理服务器硬件,这也是 Microsoft 通过 HTTP(S) 使用 WMI 的方式。...,最初在端口 135 上运行,然后通过临时端口继续通信,使用 DCE/RPC 进行通信。...唯一需要注意的是 WebDAV 不能在服务器上运行,因为默认情况下服务器操作系统上不存在该服务。
2021 WMI利用 (横向移动) 谢公子学安全 讲在前面 作者:pingpig@深蓝攻防实验室 上一篇文章我们简单的解释了什么是WMI,WMI做什么,为什么使用WMI。...在横向移动中的固定过程中一定离不开“信息收集”,然后分析信息根据实际场景(工作组或者域)来进行横向移动,至于使用什么工具,为什么使用这个工具,笔者使用WMI的意见。...注意:wmic命令需要本地管理员或域管理员才可以进行正常使用,普通权限用户若想要使用wmi,可以修改普通用户的ACL,不过修改用户的ACL也需要管理员权限,这里笔者单独罗列小结:普通用户使用wmic。...WMIcmd.exe在域内使用 pth-wmic 注意:此为kali内置工具,只能执行一些WMI命令,无法执行其他命令....WMI WMIHACKER 注意:wmihacker.vbs是在wmiexec.vbs基础上进行改进并优化的,新增了上传下载功能,其所需管理员权限。
前言 域内横向移动技术是红队作战在域内最基本技术之一,红队人员会利用该技术,以被攻陷的系统为跳板,通过已经收集的凭据和密码,来访问域内其他主机,扩大战果,最终目的是获取到dc的访问控制权限。...at \\\192.168.75.131 10 /delete 1.2 Schtasks at 命令在windows2008以后的版本被废除了,这时候就用schtasks命令来代替 还是老规矩上传脚本到服务器...,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特WMI允许脚本语言(例如VBScript或Windows PowerShell)在本地和远程管理...命令支持各种开关以及使用备用凭据进行身份验证的能力。...通过使用冒号(:)符号将语句分隔在一行上,可以绕过此操作。 ? END
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
