PsExec/Winexec/ScExec

Nasıl çalışırlar

Sürecin adımları aşağıda özetlenmiştir ve SMB üzerinden hedef makinede uzaktan yürütme sağlamak için hizmet ikili dosyalarının nasıl manipüle edildiğini göstermektedir:

1. ADMIN$ paylaşımına bir hizmet ikili dosyasının kopyalanması gerçekleştirilir.

2. Uzak makinede bir hizmetin oluşturulması, ikili dosyaya işaret edilerek yapılır.

3. Hizmet uzaktan başlatılır.

4. Çıkışta, hizmet durdurulur ve ikili dosya silinir.

PsExec'i Manuel Olarak Çalıştırma Süreci

Varsayılan olarak, antivirus tespitinden kaçınmak için msfvenom ile oluşturulmuş ve Veil ile obfuscate edilmiş bir yürütülebilir yük (payload) olan 'met8888.exe' adında bir dosya olduğunu varsayalım. Bu, bir meterpreter reverse_http yükünü temsil eder ve aşağıdaki adımlar izlenir:

• İkili dosyanın kopyalanması: Yürütülebilir dosya, bir komut istemcisinden ADMIN$ paylaşımına kopyalanır, ancak dosya sistemi üzerinde gizli kalmak için herhangi bir yere yerleştirilebilir.

• Bir hizmet oluşturma: Windows sc komutunu kullanarak, Windows hizmetlerini uzaktan sorgulama, oluşturma ve silme imkanı sağlayan bir hizmet "meterpreter" adıyla oluşturulur ve yüklenen ikili dosyaya işaret eder.

• Hizmeti başlatma: Son adım, hizmetin başlatılmasıdır; bu, ikili dosyanın gerçek bir hizmet ikili dosyası olmaması ve beklenen yanıt kodunu döndürmemesi nedeniyle muhtemelen bir "zaman aşımı" hatası ile sonuçlanacaktır. Bu hata önemsizdir çünkü asıl hedef ikili dosyanın yürütülmesidir.

Metasploit dinleyicisinin gözlemlenmesi, oturumun başarıyla başlatıldığını gösterecektir.

sc komutu hakkında daha fazla bilgi edinin.

Daha ayrıntılı adımları burada bulabilirsiniz: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

Windows Sysinternals ikili dosyası PsExec.exe'yi de kullanabilirsiniz:

Ayrıca SharpLateral kullanabilirsiniz:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName