很多人在渗透测试的时候还是使用PSEXEC式工具, PSEXEC式的工具有国外大牛写了各种语言的,如Metasploit的psexec psexec_psh,Impacket psexec,pth-winexe,Empire Invoke-Psexec,最原始Sysinternals的工具PSEXEC模块。这些工具的工作非常出色,但是经过这么多年的发展,psexec类的工具在现在各种防御软件环境下,很多时候无法开展渗透测试工作。
在win下要想执行命令有几种方法1、ipc上传at&schtasks远程执行2、psexec 这也是用的最多,但是会留下痕迹3、wmi 最安全方法,没有任何知觉,所有window系统启用服务,但防火墙开启将会无法连接4、PsRemoting posershel远程执行命令
- 1、通过ipc$连接,然后释放psexesvc.exe到目标机器。
- 2、通过服务管理SCManager远程创建psexecsvc服务,并启动服务。
- 3、客户端连接执行命令,服务端启动相应的程序并执行回显数据。
- 这里所指是Sysinternals的psexec,但是msf Impacket pth 工具中的psexec都大同小异,用的都是都是这种思路。
为什么丢弃PSEXEC
psexec类工具动静大,专业点的的杀毒软件就能检测到,并且偶尔退出的时候服务不能删除,需要开启admin$共享,即使在可以使用psexec进行渗透测试,但是安装服务也会留下明显的日志,而且服务没有删除的风险更大,这样对于攻击事后溯源来说,调查人员会通过日志等信息来推测出你的攻击过程。但是它的优点在于,能直接给我们提供目标的system权限
WMI 的全称是 Windows Management Instrumentation,它出现在所有的 Windows 操作系统中,并由一组强大的工具集合组成,用于管理本地或远程的 Windows 系统,攻击者使用wmi来进行攻击,但Windows系统默认不会在日志中记录这些操作,可以做到无日志,攻击脚本无需写入到磁盘,增加了隐蔽性,越来越多的apt事件中使用WMI进行攻击,利用WMI可以进行信息收集、探测,反病毒和虚拟机检测,命令执行,权限持久化等操作。
我最早也不喜欢wmi,因为wmi执行命令是没有回显的,没有回显显然不是我们想要的,不过老外在hes2014提出了回显的思路,在加上psexec式的攻击很多的杀软已开始查杀,在这种情况下wmi攻击还是很有必要的。http://2014.hackitoergosum.org/slides/day1_WMI_Shell_Andrei_Dumitrescu.pdfPTH-WMIS (最早wmi攻击的工具,单条命令执行,无回显,需要pth-smbget配合读取结果)impackets wmiexec(Linux跨window经常用)
wmiexec.vbs (h3he)Invoke-WmiCommand&Invoke-PowerShellWmiwindow本地wmic测试结果,默认情况下是无法得到回显的,显然这不是我们想要的,在渗透过程中,没有回显是特别糟糕。wmic /node:192.168.38.137 /user:administrator /password:123456 process call create cmd.exe
PsRemoting远程命令执行基于WinRM,WinRM指的是Windows远程管理服务,它会监听http(5985);https(5986)端口,Windows Server2012中该功能是默认启动,但2008或2008 R2则默认是禁用的,但是不排除管理员为了方便他们对服务器进行远程管理,会将这个端口开启。
通过Enable-PSRemoting打开PS远程管理,启动了Kerberos认证。这个方法只适合两台电脑在相同域或信任域内的指定电脑(名字可以带后缀).但它不支持跨域、域外或IP地址。
如果在工作组环境中,必须设置信任,重启Winrm,才可以进行远程管理。
利用powershell渗透可以绕过杀软,绕过白名单防护设备,并且是交互式。杀人越货神器。
但是由于默认禁用的原因,我在内网渗透测试的时候,没有使用过这种技术。
Enter-PSSession 192.168.38.137 -Credential administrator
内网渗透更推荐的时候更推荐使用wmi,wmi的好处我已经说过了,但是wmi并不是万能的,根据自身的网络环境来调整渗透手法,做渗透测的过程中擦掉自己痕迹,不使用arp等动静特别大攻击手法。
联系客服
