Hoe werk hulle

Die proses word uitgelig in die volgende stappe, wat illustreer hoe diens-binêre lêers gemanipuleer word om afgeleë uitvoering op 'n teikengreep te bereik via SMB:

1. Kopiëring van 'n diens-binêre lêer na die ADMIN$-aandeel oor SMB word uitgevoer.

2. Skepping van 'n diens op die afgeleë masjien word gedoen deur na die binêre lêer te wys.

3. Die diens word afgeleë gestart.

4. Met die afsluiting word die diens gestop en die binêre lêer verwyder.

Proses van Handmatige Uitvoering van PsExec

As daar 'n uitvoerbare lading is (geskep met msfvenom en geobfuskeer met Veil om antivirusopsporing te ontduik), genaamd 'met8888.exe', wat 'n meterpreter reverse_http-lading voorstel, word die volgende stappe geneem:

• Kopiëring van die binêre lêer: Die uitvoerbare lêer word vanaf 'n opdragpunt na die ADMIN$-aandeel gekopieer, alhoewel dit enige plek op die lêersisteem geplaas kan word om verborge te bly.

• Skepping van 'n diens: Deur die Windows sc-opdrag te gebruik, wat toelaat om Windows-diens af te vra, te skep en te verwyder op afstand, word 'n diens genaamd "meterpreter" geskep om na die opgelaaide binêre lêer te wys.

• Begin van die diens: Die finale stap behels die begin van die diens, wat waarskynlik 'n "tyduit" fout sal veroorsaak weens die binêre lêer wat nie 'n werklike diens-binêre lêer is nie en nie die verwagte responskode teruggee nie. Hierdie fout is onbelangrik aangesien die primêre doel die uitvoering van die binêre lêer is.

Waarneming van die Metasploit luisteraar sal aandui dat die sessie suksesvol geïnisieer is.

Leer meer oor die sc-opdrag.

Vind meer gedetailleerde stappe in: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

Jy kan ook die Windows Sysinternals-binêre PsExec.exe gebruik:

Jy kan ook SharpLateral gebruik:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName