横向移动检测之远程执行(一)PsExec

最新推荐文章于 2025-03-20 06:00:00 发布
最新推荐文章于 2025-03-20 06:00:00 发布
阅读量4.8k 收藏 10
点赞数 4
分类专栏: Threat Hunting 文章标签: 应急响应 横向移动检测 攻击溯源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27828281/article/details/100979233
版权
本文详细介绍了横向移动检测中的PsExec工具,包括其在远程执行中的作用、原理及如何通过事件日志、注册表和文件系统进行检测。通过案例展示了如何分析客户端和服务端的事件日志、注册表项和文件系统痕迹,以追踪攻击行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

横向移动检测之远程执行—PsExec

1.1 介绍

 在横向移动过程,攻击者通常会使用PsExec在远程主机执行命令。在客户端执行psexec.exe后,如果服务器认证成功,会将psexesvc.exe上传到服务端的ADMIN$目录并作为服务运行,在执行完命令后删除对应的服务和psexesvc.exe。
 通过对客户端和服务端的事件日志、注册表、文件系统进行分析,可以从客户端主机获得连接的目的主机,连接时间等信息;从服务端主机可以获得连接的客户端信息,连接时间等信息。

环境

  • 源:192.168.49.155
  • 目的:192.168.49.144
    psexec.exe基本命令格式如下:
    psexec.exe \\host -accepteula -d -c c:\temp\evil.exe
    -accepteula 不显示license对话框
    -d 不等待进程终止(非交互式)
    -c 复制执定程序到远程系统执行,如果省略,应用必须在远程系统的系统路径。
    如果在执行命令时提示拒绝访问:
    在这里插入图片描述
    须在目标主机执行如下命令:
    reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

在192.168.49.144上远程执行evil.exe:
PsExec.exe \\192.168.49.144 -u victim -p <passwd> -d -c .\evil.exe
在这里插入图片描述
在目标主机查看,evil.exe已运行:
在这里插入图片描述

1.2 PsExec - 源

1.2.1 事件日志

  • security.evtx
    - 4648,试图使用显式凭据登录。记录当前登录的用户名,使用的凭据的用户名,目标主机名/IP,进程名。
     4648日志内容如下,在下图中,当前登录的用户为attacker,使用的凭据为victim,目标服务器名称为victim-pc,时间为2019-09-08 23:18:02:
    在这里插入图片描述
     首先使用kape.exe对日志文件进行提取:
    kape.exe --tsource C: --target EventLogs --tdest .\event
    使用logparser对security.evtx进行分析:
    logparser -stats:OFF -i:EVT "SELECT timegenerated as date, extract_token(strings, 1, '|') as accountname, extract_token(strings, 2, '|') as domain, extract_token(strings, 5, '|') as usedac
最低0.47元/天 解锁文章
内网渗透-【横向移动PsExec工具远程命令执行横向移动
lza20001103的博客
09-02 1789
横向移动PsExec工具远程命令执行横向移动 文章目录【横向移动PsExec工具远程命令执行横向移动PsExec介绍 PsExec介绍 psexec 是 windows 下非常好的远程命令行工具。 psexec的使用不需要对方主机开方3389端口, 只需要对方开启admin共享和ipc共享和ipc共享和ipc (该共享默认开启,依赖于445端口)。 但是,假如目标主机开启了防火墙(防火墙禁止445端口连接)psexec也是不能使用的,会提示找不到网络路径。 由于psexec是Windo
4.12-PsExec工具远程CMD横向移动
qq_38122566的博客
03-17 881
psexec 是 windows 下非常好的远程命令行工具。psexec的使用不需要对方主机开方3389端口,只需要对方开启admin共享和ipc (该共享默认开启,依赖于445端口)。但是,假如目标主机开启了防火墙(防火墙禁止445端口连接)psexec也是不能使用的,会提示找不到网络路径。由于psexec是Windows提供的工具,所以杀毒软件将其列在白名单中。下载地址https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools。
使用Psexec.exe 命令行远程windows执行命令
聆听风雨的博客
04-10 4963
背景: 博主今天遇到个问题,就是通过远程桌面远程公司电脑的时候直卡在请稍等页面无法操作。这种问题般重启即可解决,但由于周末公司也没人帮忙重启。所以想到有没有可以像linux那样命令行的方式远程到windows。结果搜,还真有。 1、下载psexec PsExec - Windows Sysinternals | Microsoft Docs 2、命令行链接 PsExec.exe \\192.168.1.1 -u administrator -p password -i -c cmd.exe
个功能强大的NT2K远程管理工具包
weixin_34336292的博客
02-17 268
当网管维护的技术人员,经常要在命令提示符下输入各种命令调试系统,但如果你需要调用其他的机子的命令提示符时候,只能用telnet和远程控制软件,在这两种软件都没有的情况下,还有没有其他的方法呢?有,不但方便,功能也十分强大。它就是sysinternals出的个功能强大的nt/2k远程管理工具包pstools.它的主页为[url]http://www.sysinternals....
如何使用 PsExec 执行远程命令
weixin_34315485的博客
05-18 774
前言 这紧紧只是篇纯技术分享。我们的程序在运行时需要连接多台目标机器,并拷贝目标机器上特定文件夹中的文件。为了方便访问,要在每台目标机器上建立个特定用户,所以 PsExec 成了实现此功能的个方案(虽然已经被弃用)。 PsExec 简介 PsExec工具包含在远程管理工具包 PsTools 中,可以从该地址获取。 开启 Admin$...
Windows 远程控制之 PsExec
一直被模仿,从未被超越
01-12 5390
PsExec种轻量级 telnet 替代品,可让你在其他系统上执行进程,并为控制台应用程序提供完整交互性,而无需手动安装客户端软件。PsExec 最强大的用途包括在远程系统上启动交互式命令提示符,以及 IpConfig 等远程启用工具,否则无法显示有关远程系统的信息。远程打开 cmd 命令。
内网渗透(四十)横向移动篇-PsExec工具远程命令执行横向移动
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-20 593
psexec 是 windows 下非常好的远程命令行工具。psexec的使用不需要对方主机开方3389端口,只需要对方开启admin共享和ipc共享和ipc共享和ipc(该共享默认开启,依赖于445端口)。但是,假如目标主机开启了防火墙(防火墙禁止445端口连接),psexec也是不能使用的,会提示找不到网络路径。由于psexec是Windows提供的工具,所以杀毒软件将其列在白名单中psExec下载。
[横向移动] PsExec 工具远程 CMD 横向移动
最新发布
Blue17 の 小窝
03-20 764
而我们的 PsExec 主要是活跃在第三阶段,即拓展我们远程执行命令的手段(前两个阶段 PsExec 也可以,可以搜索下 CMD 下载远程文件)。将恶意程序上传至靶机后,我们就可以通过 PsExec 直接远程在靶机上运行该恶意程序让靶机上线了,在前面我们也讲过了,当肉鸡与靶机建立信任关系后,PsExec执行就可以不用携带。由于 PsExec 是微软自己提供的工具,所以杀毒软件默认会将其列在白名单中(不过近期已经被列入黑名单了)。如上,成功以建立信任关系的用户权限执行恶意程序上线了靶机。
PSexec工具横向移动
Y22Lee的博客
05-28 1351
之前我们讲解了IPC,PTH,PTK,PTH,其实这些东西都是用来进行认证的IPC:使用明文的账号密码进行认证PTH:使用NTLM-hash值进行认证PTK:使用AES秘钥进行认证PTT:使用票据进行认证认证通过之后如何实现远程上线内网其他的机器,或者说远程执行其他电脑的命令呢?计划任务服务除了以上俩种方式其实还有其他的方法和工具的,接下来我就对齐进行介绍,并且分析原理和流量,从底层了解工具psexec工具smbexec工具WMI命令DCOM接口WinRM服务。
使用Psexec进行横向移动
无问社区的博客
08-30 380
进入系统后的后渗透横向移动方法分享
Psexec远程CMD工具
12-31
psexec远程执行工具,你可以像使用telnet样使用它。
PsExec.exe
07-20
实用工具(如 Telnet)和远程控制程序(如 Symantec 的 PC Anywhere)使您可以在远程系统上执行程序,但安装它们非常困难,并且需要您在想要访问的远程系统上安装客户端软件。PsExec个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。PsExec 最强大的功能之是在远程系统和远程支持工具(如 IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。
psexec
05-01
可以实现用system用户登陆系统的工具,用法:结束explorer进程后,在cmd中执行PsExec -i -s -d explorer
PsExec64.exe
09-17
用于获取软件中图片,可以在ctf 中给你个软件后获取内容
【渗透测试笔记】之【内网渗透——横向移动PsExec的使用】
AA8j的博客
11-18 9192
文章目录1. PsTools工具包中的PsExec1.1 注意事项1.2 使用方法1.2.1 获得交互式shell1.2.2 执行单条命令并回显2. CS中的PsExec2.1 查看目标所在网段其它主机2.2 使用PsExec横向移动3. msf中的PsExec3.1 添加路由3.2 加载模块,设置目标IP、账号、密码及设置payload 1. PsTools工具包中的PsExec 地址:https://download.sysinternals.com/files/PSTools.zip 1.1 注意事项
远程调用服务器上的ps,执行远程服务器命令PsExec
weixin_39561673的博客
07-30 510
二、命令如下:>psexec \172.16.88.204 -u vss -p vssp cmd –打开cmd执行命令>psexec \172.16.88.204 -u vss -p vssp -c my.bat三、在下载的文件中还有其它命令,作用有:(2)psservice 管理远程服务器的服务psservice 远程机器ip start tlntsvr(3)pssuspend 暂时...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值