超级会员免费看
本文详细解析了通过psexec利用SMB协议远程控制主机的过程,涉及NTLM认证、树连接、服务上传、管道通信、DCERPC及SVCCTL协议。通过对whoami命令执行和exit命令的分析,展示了命令交互和数据包关闭流程。
SMB协议作为windows环境下最为常见的一种协议,在历史上出现过无数的通过SMB协议进行网络攻击利用的案例,包括针对SMB协议本身以及通过SMB协议实施网络攻击。
本文将介绍一种通过SMB协议的常见利用方式,即通过psexec工具控制远程的主机,作为我的专栏《SMB攻击流量数据包分析
》中的一篇。
PSEXEC
想要分析psexec的流量,首先要对psexec的使用有所了解,关于psexec的使用介绍,详见之前的文章《PsExec使用过程介绍》,这里。
数据包
在之前的文章《PsExec使用过程介绍》,这里,使用了三个命令,如下:
psexec64 -u DESKTOP-4NR18EQ\root 
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
