Jak działają

Proces jest opisany poniżej, ilustrując manipulację binarnymi usług w celu zdalnego wykonania na maszynie docelowej za pośrednictwem SMB:

1. Kopiowanie binarnej usługi do udziału ADMIN$ przez SMB jest wykonywane.

2. Utworzenie usługi na zdalnej maszynie jest dokonywane poprzez wskazanie binarnej usługi.

3. Usługa jest uruchamiana zdalnie.

4. Po zakończeniu, usługa jest zatrzymywana, a binarna usługa jest usuwana.

Proces Ręcznego Wykonywania PsExec

Zakładając, że istnieje wykonywalny ładunek (utworzony za pomocą msfvenom i zaciemniony za pomocą Veil w celu uniknięcia wykrycia przez antywirus), o nazwie 'met8888.exe', reprezentujący ładunek meterpreter reverse_http, podejmowane są następujące kroki:

• Kopiowanie binarnej usługi: Wykonywane jest skopiowanie wykonywalnego pliku do udziału ADMIN$ z wiersza polecenia, chociaż może być umieszczony w dowolnym miejscu na systemie plików, aby pozostać ukrytym.

• Utworzenie usługi: Korzystając z polecenia Windows sc, które pozwala na zapytywanie, tworzenie i usuwanie usług systemowych zdalnie, tworzona jest usługa o nazwie "meterpreter", wskazująca na przesłany binarny plik.

• Uruchomienie usługi: Ostatnim krokiem jest uruchomienie usługi, co najprawdopodobniej spowoduje błąd "przekroczenia czasu" z powodu tego, że binarna usługa nie jest prawdziwą binarną usługą i nie zwraca oczekiwanego kodu odpowiedzi. Ten błąd jest nieistotny, ponieważ głównym celem jest wykonanie binarnej usługi.

Obserwacja nasłuchiwacza Metasploit ujawni, że sesja została pomyślnie zainicjowana.

Dowiedz się więcej o poleceniu sc.

Znajdź bardziej szczegółowe kroki w: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

Możesz również użyć binarnej usługi Windows Sysinternals PsExec.exe:

Możesz również użyć SharpLateral:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName