PsExec/Winexec/ScExec

Reading time: 3 minutes

Jinsi zinavyofanya kazi

Mchakato umeelezwa katika hatua zilizo hapa chini, ukionyesha jinsi binaries za huduma zinavyoshughulikiwa ili kufikia utekelezaji wa mbali kwenye mashine lengwa kupitia SMB:

1. Nakili ya binary ya huduma kwenye ADMIN$ share kupitia SMB inafanywa.
2. Uundaji wa huduma kwenye mashine ya mbali unafanywa kwa kuelekeza kwenye binary.
3. Huduma hiyo inaanzishwa kwa mbali.
4. Baada ya kutoka, huduma hiyo inasitishwa, na binary inafutwa.

Mchakato wa Kutekeleza PsExec kwa Mikono

Tukichukulia kuna payload inayoweza kutekelezwa (iliyoundwa na msfvenom na kufichwa kwa kutumia Veil ili kuepuka kugunduliwa na antivirus), inayoitwa 'met8888.exe', ikiwakilisha payload ya meterpreter reverse_http, hatua zifuatazo zinachukuliwa:

• Nakili binary: Executable inakopiwa kwenye ADMIN$ share kutoka kwa amri ya amri, ingawa inaweza kuwekwa mahali popote kwenye mfumo wa faili ili kubaki kufichwa.
• Kuunda huduma: Kwa kutumia amri ya Windows sc, ambayo inaruhusu kuuliza, kuunda, na kufuta huduma za Windows kwa mbali, huduma inayoitwa "meterpreter" inaundwa kuelekea kwenye binary iliyopakiwa.
• Kuanza huduma: Hatua ya mwisho inahusisha kuanzisha huduma, ambayo kwa uwezekano itasababisha kosa la "time-out" kwa sababu binary sio binary halisi ya huduma na inashindwa kurudisha msimbo wa majibu unaotarajiwa. Kosa hili halina umuhimu kwani lengo kuu ni utekelezaji wa binary.

Uangalizi wa msikilizaji wa Metasploit utaonyesha kuwa kikao kimeanzishwa kwa mafanikio.

Learn more about the sc command.

Pata hatua za kina zaidi katika: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

Unaweza pia kutumia binary ya Windows Sysinternals PsExec.exe:

Unaweza pia kutumia SharpLateral:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName