[译]psexec杂谈

原文地址:http://pen-testing.sans.org/blog/pen-testing/2013/03/18/a-penetration-testers-pledge

psexec(包含Metasploit中的psexec, nmap中的smb-psexec脚本,以及Microsoft Sysinternals)这些工具在后渗透中及其有用。psexec可以在全补丁的系统上运行,一旦获得SMB访问权限和admin口令(username和密码,或者username和hash来进行传递hash攻击),就可以使用本地权限执行代码或使用Metasploit。
psexec长处在于方便你你拿下服务器后,进行提权,获取管理员口令,扩展攻击。
我们可以将psexec使用场景:
1. 使用Metasploit的psexec版本,它支持pass-the-hash攻击。而且可以选择TCP 445以外的端口,可以用来中转到其他主机的攻击
2. 如果想大规模运行某些命令,那么应该尝试nmap脚本引擎,同样支持pass-the-hash攻击。
3. 如果处于一个禁止使用Metasploit或nmap的环境中,那么应该尝试Microsoft的SysInternals中的psexec。它不会被杀毒软件查杀。不支持pass-the-hash。但是可以使用Windows Credentials Editor(WCE)来把你的口令注入到内存中,然后再使用Sysinternals的psexec。
psexec通过创建一个SMB连接来工作,把你想执行的代码写到文件系统,在机器上创建一个服务,使用这个服务来执行你的代码。如果使用Metasploit版本的psexec,它会在使用完成后自动删除服务,代码(Metasploit和nmap中的服务和代码都有一个伪随机的名字)。
注意:Sysinternals版本的psexec不会自动删除psexec创建的服务。
可以使用下面的命令删除服务和代码:
C:\> sc \\<RemoteTarget> stop psexesvc

C:\> del \\<RemoteTarget>\admin$\psexesvc.exe

C:\> del \\<RemoteTarget>\admin$\system32\psexesvc.exe

C:\> sc \\<RemoteTarget> delete psexesvc
更重要的一点,Sysinternal版本psexec的除了使用当前的口令外,还允许你使用不同的username和password(-u username -p password)。如果不使用-u username -p password参数,那么使用你的客户端和目标支持的微软认证方式来认证。 另外如果使用-u username -p password,那么他们会以明文传送

你可能感兴趣的:(exec)