内网环境横向移动——利用psexec

利用psexec.exe工具

下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec

psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开方3389端口,只需要对方开启admin$共享 (该共享默认开启)。但是,假如目标主机开启了防火墙,psexec也是不能使用的,会提示找不到网络路径。由于psexec是Windows提供的工具,所以杀毒软件将其列在白名单中。

psexec的基本原理:

    1. 通过ipc$连接admin$,释放二进制文件psexecsvc.exe到目标

    1. 通过服务管理SCManager远程创建一个psexec服务,并启动服务

    1. 客户端连接执行命令,服务端通过服务启动相应的程序执行命令并回显数据

    1. 运行结束后删除服务

psexec的使用前提:

  • 对方主机开启了 admin$共享,如果关闭了admin$共享,会提示:找不到网络名

  • 对方未开启防火墙

  • 如果是工作组环境,则必须使用administrator用户连接(因为要在目标主机上面创建并启动服务),使用其他账号(包括管理员组中的非administrator用户)登录都会提示访问拒绝访问。

  • 如果是域环境,即可用普通域用户连接也可以用域管理员用户连接。连接普通域主机可以用普通域用户,连接域控只能用域管理员账户。

使用如下命令:

  • -accepteula:第一次运行psexec会弹出确认框,使用该参数就不会弹出确认框

  • -u:用户名

  • -p:密码

  • -s:以system权限运行运程进程,获得一个system权限的交互式shell。如果不使用该参数,会获得一个连接所用用户权限的shell

PsExec64.exe -accepteula \\192.168.10.3 -u WIN-U8TRGT93CTR\administrator -p  -s cmd.exe

内网环境横向移动——利用psexec_第1张图片

这里也可以先建立ipc连接后直接调用PsExec64.exe调用cmd

内网环境横向移动——利用psexec_第2张图片

内网环境横向移动——利用psexec_第3张图片

也可以直接执行命令(在建立ipc连接的基础上)

内网环境横向移动——利用psexec_第4张图片

msf中的psexec

使用search psexec寻找psexec模块如下图所示

内网环境横向移动——利用psexec_第5张图片

这里最常用的有以下模块

内网环境横向移动——利用psexec_第6张图片

这里说一下msf里面的这个psexec这个模块跟powershell原生模块的区别。我们知道powershell是在2008及以上的系统才有,在2008及以上的系统使用原生powershell免杀效果是要比msf里psexec生成的payload要好的。但是在2003及以下的版本是不自带powershell的,那么在这种情况下我们就只能使用msf的psexec生成的exe进行横向移动

这里唯一一点注意的就是msf的payload,需要用到反弹payload,即reverse_tcp

运行可以看到为system权限

内网环境横向移动——利用psexec_第7张图片

psexec服务将会安装在远程系统中,此时将会生成 Event 4697、7045 这2种事件日志;有可能预生成Event 4624和Event 4652 Windows事件日志,日志会记录下该工具的使用数据。

内网环境横向移动——利用psexec_第8张图片

你可能感兴趣的:(网络,安全,学习)