Як вони працюють

Процес описаний у кроках нижче, показуючи, як бінарні файли служби маніпулюються для досягнення віддаленого виконання на цільовій машині через SMB:

1. Копіювання бінарного файлу служби на розділ ADMIN$ через SMB виконується.

2. Створення служби на віддаленій машині виконується, вказуючи на бінарний файл.

3. Служба запускається віддалено.

4. Після виходу служба зупиняється, а бінарний файл видаляється.

Процес Ручного Виконання PsExec

Припускаючи, що є виконавчий навантаження (створений за допомогою msfvenom та затемнений за допомогою Veil для ухилення від виявлення антивірусом), під назвою 'met8888.exe', що представляє віддалене навантаження meterpreter reverse_http, виконуються наступні кроки:

• Копіювання бінарного файлу: Виконавчий файл копіюється на розділ ADMIN$ з командного рядка, хоча його можна розмістити де завгодно на файловій системі, щоб залишатися прихованим.

• Створення служби: Використовуючи команду Windows sc, яка дозволяє запитувати, створювати та видаляти служби Windows віддалено, створюється служба з назвою "meterpreter", щоб вказати на завантажений бінарний файл.

• Запуск служби: Останнім кроком є запуск служби, що, ймовірно, призведе до помилки "тайм-ауту" через те, що бінарний файл не є справжнім бінарним файлом служби та не повертає очікуваний код відповіді. Ця помилка не має значення, оскільки основна мета - виконання бінарного файлу.

Спостереження за прослуховувачем Metasploit покаже, що сесія була успішно ініційована.

Дізнайтеся більше про команду sc.

Знайдіть більше деталейних кроків за посиланням: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

Ви також можете використовувати бінарний файл Windows Sysinternals PsExec.exe:

Ви також можете використовувати SharpLateral:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName