PsExec/Winexec/ScExec
Πώς λειτουργούν
Η διαδικασία περιγράφεται στα παρακάτω βήματα, επιδεικνύοντας πώς τα δυαδικά αρχεία υπηρεσίας παραμορφώνονται για να επιτευχθεί απομακρυσμένη εκτέλεση σε έναν στόχο μηχανήματος μέσω του SMB:
Πραγματοποιείται αντιγραφή ενός δυαδικού αρχείου υπηρεσίας στον κοινόχρηστο φάκελο ADMIN$ μέσω SMB.
Πραγματοποιείται δημιουργία μιας υπηρεσίας στο απομακρυσμένο μηχάνημα δείχνοντας στο δυαδικό αρχείο.
Η υπηρεσία ξεκινά απομακρυσμένα.
Μετά τη λήξη, η υπηρεσία σταματά και το δυαδικό αρχείο διαγράφεται.
Διαδικασία Χειροκίνητης Εκτέλεσης του PsExec
Υποθέτοντας ότι υπάρχει ένα εκτελέσιμο φορτίο (δημιουργημένο με το msfvenom και αποκρυπτογραφημένο χρησιμοποιώντας το Veil για να αποφευχθεί η ανίχνευση από το αντιιικό πρόγραμμα), με το όνομα 'met8888.exe', που αντιπροσωπεύει ένα αντίστροφο payload του meterpreter μέσω του reverse_http, πραγματοποιούνται τα παρακάτω βήματα:
Αντιγραφή του δυαδικού: Το εκτελέσιμο αντιγράφεται στον κοινόχρηστο φάκελο ADMIN$ από ένα παράθυρο εντολών, αν και μπορεί να τοποθετηθεί οπουδήποτε στο σύστημα αρχείων για να παραμείνει κρυμμένο.
Δημιουργία μιας υπηρεσίας: Χρησιμοποιώντας την εντολή
sc
των Windows, η οποία επιτρέπει τον αναζήτηση, τη δημιουργία και τη διαγραφή υπηρεσιών των Windows απομακρυσμένα, δημιουργείται μια υπηρεσία με το όνομα "meterpreter" που δείχνει στο ανεβασμένο δυαδικό αρχείο.Έναρξη της υπηρεσίας: Το τελικό βήμα περιλαμβάνει την έναρξη της υπηρεσίας, η οποία πιθανότατα θα οδηγήσει σε σφάλμα "time-out" λόγω του γεγονότος ότι το δυαδικό αρχείο δεν είναι γνήσιο δυαδικό αρχείο υπηρεσίας και αποτυγχάνει να επιστρέψει τον αναμενόμενο κωδικό απόκρισης. Αυτό το σφάλμα είναι ασήμαντο καθώς ο κύριος στόχος είναι η εκτέλεση του δυαδικού αρχείου.
Η παρατήρηση του ακροατή Metasploit θα αποκαλύψει ότι η συνεδρία έχει ξεκινήσει με επιτυχία.
Μάθετε περισσότερα για την εντολή sc
.
Βρείτε περισσότερα λεπτομερή βήματα στο: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/
Μπορείτε επίσης να χρησιμοποιήσετε το δυαδικό PsExec.exe των Windows Sysinternals:
Μπορείτε επίσης να χρησιμοποιήσετε το SharpLateral:
Last updated