前言需要
拿到了目标的exchange的owa账号密码, 而从此前的渗透记录来看,目标人员是会通过outlook去管理邮件的,利用outlook规则可以启动远程的exe,我们需要可以通过UNC匿名访问的Server。
一、Webdav
远程文件共享可以通过建立Webdav来搞,在记忆里面Webdav在IIS6里面出现过,随后想着能不能在Apache搞?后来发现有个docker可以操作。
Docker - bytemark/webdav
1 | sudo docker pull bytemark/webdav |
但是我在kali测试报错了,懒得处理。
Ruler自带的Webdav服务架设工具
https://github.com/sensepost/ruler/tree/master/webdav
人家没有编译EXE,搞得我还要编译。
自己改端口,我没改……
访问dir \\20.x.x.103@80\share
wsgidav
如果是在自己的Linux vps的话,这个也挺好。当然人家也给了msi文件,自己安装了然后压缩到目标去运行可以了的。
https://github.com/Ridter/WebDAV
二、SMB
windows的smb
这个是折腾我最久的!
_
Baidu、Google了很久,发现国内外的文章都是界面一顿操作,特别是这篇:creating-network-share-with-anonymous-access
最后虽然启动了,不过经过我使用排除法发现,只需要3大步骤:
- 给需要共享的文件夹添加Everyone的访问权限
- 设置共享后给Everyone的访问权限
- 把访问密码给关了(不影响其他共享需要密码)
最后把这3大步骤用3条DOS命令代替就是:
1 | cacls c:\users\john\desktop\shared /e /g Everyone:f |
坑点来了
- guest必须是没有密码的,否则上面的“Turn off password protected sharing”是不能成功的,表象是你可以选它,然后保存。但是!如果你重新点开这个界面你会发现,它又跳回“Turn off password protected sharing”。
- 实战中,这个共享密码保护,我死活关不上!无论把guest disable 还是enable,设置成空密码,都不行。
- 本地测试,我通过上面的办法就搞的定定的,同样的配置,然而上了实战就他么不一样了。
然后又Google了一下“windows 创建匿名共享”,结果是把“本地安全策略” - “安全选项”的2个项改改,
然后更新策略,通过CMD更新:gpupdate /force
。
Linux的SMB - samba
本人还没有在实战操作过,本地Kali-linux 2020.2测试了一下。
【Kali Linux】搭建 samba 实现 Windows 与 Linux 共享文件夹互相访问
how-to-make-samba-share-to-not-ask-for-password
1 | sudo apt-get install samba |
1 | kali@kali:/etc/samba$ sudo samba -V |
1 | #smb.conf |
1 | sudo service smbd restart |
疑问
1. 为什么第二次使用Webdav的路径,目标报错
我用wsgidav在外网搭建好webdav,本地测试成功,拿去实战,发现有目标成功运行了我webdav上的文件。而后经过一个周末,我把文件替换成真正的远控马,过几天还是不上线,就拿着目标的某台Server去访问我的Webdav,命令是:dir \\123.123.123.123@8888\share\
,却报The network path was not found.
很纳闷为什么会这样,之前明明成功的。
而后我那直接在目标内网开Webdav,也是报The network path was not found.
2. 关掉文件共享密码保护的CMD命令是啥
Google找的文章,里面是用注册表,然而经测试后发现并没有用……