Jinsi Wanavyofanya Kazi

Mchakato umeelezwa katika hatua zifuatazo, ukionyesha jinsi binaries za huduma zinavyodhibitiwa ili kufikia utekelezaji wa mbali kwenye mashine ya lengo kupitia SMB:

1. Kunakiliwa kwa binary ya huduma kwenda kwenye mgawanyo wa ADMIN$ kupitia SMB inatekelezwa.

2. Uumbaji wa huduma kwenye mashine ya mbali unafanywa kwa kuelekeza kwenye binary.

3. Huduma inaanza kutoka kwa mbali.

4. Baada ya kumaliza, huduma ina kuzimwa, na binary inafutwa.

Mchakato wa Kutekeleza PsExec kwa Mikono

Kukadiria kuna mzigo wa utekelezaji (uliotengenezwa na msfvenom na kufichwa kwa kutumia Veil ili kuepuka ugunduzi wa antivirus), uitwao 'met8888.exe', ukionyesha mzigo wa nyuma wa meterpreter reverse_http, hatua zifuatazo huchukuliwa:

• Kunakiliwa kwa binary: Mzigo wa utekelezaji unanakiliwa kwenye mgawanyo wa ADMIN$ kutoka kwa dirisha la amri, ingawa unaweza kuwekwa mahali popote kwenye mfumo wa faili ili kubaki siri.

• Kuunda huduma: Kwa kutumia amri ya Windows sc, ambayo inaruhusu kuuliza, kuunda, na kufuta huduma za Windows kwa mbali, huduma inayoitwa "meterpreter" inaundwa ili kuelekeza kwenye binary iliyopakiwa.

• Kuanza huduma: Hatua ya mwisho inahusisha kuanza huduma, ambayo labda itasababisha kosa la "muda wa nje" kwa sababu binary sio binary halisi ya huduma na kushindwa kurudisha nambari ya majibu inayotarajiwa. Kosa hili halina maana kwa kuwa lengo kuu ni utekelezaji wa binary.

Uangalizi wa msikilizaji wa Metasploit utaonyesha kuwa kikao kimeanzishwa kwa mafanikio.

Jifunze zaidi kuhusu amri ya sc.

Pata hatua zaidi za kina katika: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

Unaweza pia kutumia binary ya Windows Sysinternals PsExec.exe:

Unaweza pia kutumia SharpLateral:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName