Comment fonctionnent-ils

Le processus est décrit dans les étapes ci-dessous, illustrant comment les binaires de service sont manipulés pour obtenir une exécution à distance sur une machine cible via SMB :

1. Copie d'un binaire de service sur le partage ADMIN$ via SMB est effectuée.

2. Création d'un service sur la machine distante en pointant vers le binaire.

3. Le service est démarré à distance.

4. À la sortie, le service est arrêté et le binaire est supprimé.

Processus d'exécution manuelle de PsExec

En supposant qu'il y a une charge utile exécutable (créée avec msfvenom et obfusquée à l'aide de Veil pour éviter la détection par les antivirus), nommée 'met8888.exe', représentant une charge utile meterpreter reverse_http, les étapes suivantes sont prises :

• Copie du binaire : L'exécutable est copié sur le partage ADMIN$ à partir d'une invite de commande, bien qu'il puisse être placé n'importe où sur le système de fichiers pour rester caché.

• Création d'un service : En utilisant la commande Windows sc, qui permet de interroger, créer et supprimer des services Windows à distance, un service nommé "meterpreter" est créé pour pointer vers le binaire téléchargé.

• Démarrage du service : La dernière étape consiste à démarrer le service, ce qui entraînera probablement une erreur "d'expiration" en raison du binaire n'étant pas un binaire de service authentique et ne renvoyant pas le code de réponse attendu. Cette erreur est sans conséquence car l'objectif principal est l'exécution du binaire.

L'observation du listener Metasploit révélera que la session a été initiée avec succès.

En savoir plus sur la commande sc.

Trouvez des étapes plus détaillées dans : https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

Vous pourriez également utiliser le binaire Windows Sysinternals PsExec.exe :

Vous pourriez également utiliser SharpLateral:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName