前言
psexec是sysinternals的一款强大的软件,通过它可以提权和执行远程命令,对于批量大范围的远程运维能起到很好的效果,尤其是在域环境下。今天主要从流量数据包、本地安全日志、demo源码三个角度分析。
正文
本文环境:
-
对方主机开启了 admin共享,如果关闭了admin共享,会提示:找不到网络名
-
如果是工作组环境,则必须使用administrator用户连接,使用普通用户连接会提示:登录失败: 未授予用户在此计算机上的请求登录类型。
-
如果是域环境,连接普通域主机可以用普通域用户,连接域控需要域管理员。
-
这里用非域管,就提示登录失败
打开抓到的流量包
可以看到先是进行三次握手之后然后做认证,认证成功后,开始尝试连接IPC$,之后尝试连接Admin$,然后再尝试写入文件。
之后开始启动服务。
然后创建管道
打开安全日志查看
4624,登录成功。
4648,使用显式凭据尝试登录,可以看到已经创建成功文件了。
从这里可以看到,当我们在进行本地日志分析的时候,可以关注这个文件以及远端ip登录成功的日志,如果看到了,可以知道有人利用了psexec进行操作登录。
相关日志id:
4648
4624
SMB连接demo
https://docs.microsoft.com/en-us/windows/win32/api/winnetwk/nf-winnetwk-wnetaddconnection2w
接下来的代码引用的是下面链接的,主要内容是SMB连接,上传文件,开启服务。
https://payloads.online/archivers/2020-04-02/1/
服务板块
原文始发于微信公众号(Th0r安全):PsExec流量日志分析以及实现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论