内网横向渗透工具PSExec使用笔记
2023-5-14 08:36:17 Author: 网络安全自修室(查看原文) 阅读量:44 收藏

点击上方蓝字关注我们

1
免责声明
      本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,遵守国家相关法律法规,请勿用于违法用途如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
2
内容速览

简介

PsExec 是由 Mark Russinovich 创建的 Sysinternals Suite中包含的工具。最初,它旨在作为系统管理员的便利工具,以便他们可以通过在远程主机上运行命令来执行维护任务。后来因为太过方便,被利用到内网渗透之中。

现在PsExec类的工具有各种语言的实现,如Metasploit的psexec psexec psh, Impacket psexec, pth-winexe, Empire Invoke-Psexec等等。

PsExec是一个轻量级的telnet替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与命令控制台几乎相同的实时交互性。

PsExec最强大的功能就是在远程系统和远程支持工具(如ipconfig、whoami)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。

系统管理员通常会使用这款工具来远程执行脚本,例如组件安装脚本或数据收集脚本。这种方法不仅操作起来非常的简单,而且还可以节省资源。

最重要的是,这种方法还可以避免服务器出现漏洞。

除此之外,很多人也会将其用于软件部署的过程中,虽然也有很多其他的工具可以选择,但是PsExec追求的是性价比。

同样的,攻击者也是考虑到了这些因素所以才会选择PsExec的。除了上述原因之外,还有下面这几点:

  • 这些工具属于合法工具,因此当反病毒软件或终端检测产品检测到了这类恶意软件之后,有可能只会发出警告,或者直接忽略它们。具体将取决于用户的设置情况。
  • 这些工具可以直接从微软的官方网站免费下载获取。
  • 如果攻击者在恶意软件中使用这些工具的话,目标用户的计算机中很可能已经安装好这些工具了,所以这也为攻击者提供了方便。

工作原理

PsExec特点:

  • psexec远程运行需要远程计算机启用文件和打印共享且默认的Admin$共享映射到C:windows目录。
  • psexec建立连接之后目标机器上会被安装一个“PSEXESVC”服务。但是psexec安全退出之后这个服务会自动删除(在命令行下使用exit命令退出)。

PsExec详细运行过程:

  • TCP三次握手,通过SMB会话进行身份验证。
  • 连接admin$共享,通过 SMB 访问默认共享文件夹 ADMIN$,写入PSEXESVC.exe文件;
  • 利用ipc命名管道调用svcctl服务
  • 利用svcctl服务开启psexesvc服务
  • 生成4个命名管道以供使用。一个psexesvc管道用于服务本身,另外的管道stdin(输入)、stdout(输出)、stderr(输出)用于重定向进程。

作为渗透工具的缺点

  • 特征明显,psexec类工具会释放文件,市面上的杀毒软件基本都能检测到。
  • 执行过程中需要安装服务,会留下日志,容易通过溯源推测出攻击过程,并且退出时偶尔会出现服务不能删除的情况。
  • 条件限制,需要开启admin$ 445端口共享。

使用流程

定位域控

利用nslookup定位DC

无IPC连接

我们在win7的机器上查看了解情况,若无共享的连接,则我们在使用PsExec的时候需要使用账号密码进行验证

PsExec.exe \\192.168.43.100 -u username -p password

无需弹出新的cmd窗口,直接拿下域控

有IPC连接

这个时候无需验证账号密码

PsExec.exe \\192.168.43.100 cmd.exe

Msf中的Psexec模块

use exploit/windows/smb/psexec
set RHOST 192.168.43.100
set smbuser usernmae
set smbpass password
run

使用技巧

remote UAC

UAC是什么?UAC是微软在Windows Vista 以后版本引入的一种安全机制,可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。对于UAC保持默认或者更高的话,共享时可能会出现拒绝访问的情况

这时,可以修改注册表,将UAC设置为最低

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem添加新DWORD值,键值:LocalAccountTokenFilterPolicy 为1。

参考资料

[10]微软的官方网站下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec

如果想要系统学习网络安全技术

不妨加入知识星球课程

《60天入门网络安全渗透测试》

从入门到案例,贴合实战

轻松易懂、好玩实用

限时领取

知识星球

超值 | 一起学网络安全! 授人以鱼不如授人以渔!

活动优惠券

跟着60天入门学习路线一起学

期待你的到来!

往期推荐

从入门到入狱的技术,可以学,别乱用!

网络安全学习方向和资源整理(建议收藏)

一个web安全工程师的基础学习规划

资源 | 渗透测试工程师入门教程(限时领取)

5年老鸟推荐10个玩Python必备的网站

推荐十个成为网络安全渗透测试大佬的学习必备网站!

那些社工师不为人知的秘密。。。

更多内容请关注公众号

网络安全自修室

回复:”网络安全入门教程
领取系统网络安全学习教程!

点个在看你最好看


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NDYxMzk1Mg==&mid=2247498830&idx=1&sn=b94fd9863e78eb3c10afd7cf162ea7c7&chksm=e959aa61de2e23771b9f93c06e914db682ca3b036f922197e6e3278de170d565040897c93ac2#rd
如有侵权请联系:admin#unsafe.sh