¿Cómo funcionan?

El proceso se describe en los siguientes pasos, ilustrando cómo se manipulan los binarios de servicio para lograr la ejecución remota en una máquina objetivo a través de SMB:

1. Se realiza la copia de un binario de servicio en el recurso ADMIN$ a través de SMB.

2. Se crea un servicio en la máquina remota apuntando al binario.

3. El servicio se inicia de forma remota.

4. Al salir, el servicio se detiene y el binario se elimina.

Proceso de Ejecución Manual de PsExec

Suponiendo que hay un payload ejecutable (creado con msfvenom y obfuscado usando Veil para evadir la detección de antivirus), llamado 'met8888.exe', que representa un payload meterpreter reverse_http, se siguen los siguientes pasos:

• Copia del binario: El ejecutable se copia en el recurso ADMIN$ desde un símbolo del sistema, aunque puede colocarse en cualquier lugar del sistema de archivos para permanecer oculto.

• Creación de un servicio: Utilizando el comando sc de Windows, que permite consultar, crear y eliminar servicios de Windows de forma remota, se crea un servicio llamado "meterpreter" que apunta al binario cargado.

• Inicio del servicio: El paso final implica iniciar el servicio, lo que probablemente resultará en un error de "tiempo de espera" debido a que el binario no es un binario de servicio genuino y no devuelve el código de respuesta esperado. Este error es inconsecuente ya que el objetivo principal es la ejecución del binario.

La observación del escucha de Metasploit revelará que la sesión se ha iniciado con éxito.

Aprende más sobre el comando sc.

Encuentra pasos más detallados en: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

También podrías usar el binario de Windows Sysinternals PsExec.exe:

También puedes usar SharpLateral:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName