SMB协议利用之-PsExec使用过程介绍

本文将介绍一些psexec工具的实际用法，只有明白了该工具如何使用，在后续对于psexec产生的SMB/RPC以及微软相关协议流量进行分析的时候，才能收放自如。关于PSEXEC的流量分析，可以移步至专栏我的专栏《SMB攻击流量数据包分析》，详见这里。

PsExec 简介

PsExec是一款由Sysinternals开发的工具，目前是Windows官方的一个utility，用于在远程计算机上执行命令或程序。它通过在目标系统上创建服务，实现了远程命令执行的功能，通常被系统管理员用于远程管理、批量部署软件等操作。虽然该工具在开发之初是用于正常的目的，但是同样可以被滥用，充当后门。在网络安全分析中，检测PsExec的流量数据包可以帮助检测潜在的恶意行为，发现横向移动或权限提升等攻击行为。关于psexec的更多介绍，参考这里，如下：

PsExec下载

上图可以看到windows提供了多种类似于psexec的utility，但是并不是每个系统都默认自带了这些utility，因此需要下载，如下：

下载的压缩包是Sysinternals开发所有的工具，选择其中的psexec64复制到本地的C:\Windows路径即可，如下：

PsExec 限制

当该文件被复制到Windows路径下之后，不需要安装就可以在CMD中调用该命令了，如下：

第一次使用需要同意License。当本地有了psexec之后，就可以按照psexec的官方说明，这里执行对应的命令（psexec64 \DESKTOP-4NR18EQ cmd /c -u root -p root），如下：

其中\DESKTOP-4NR18EQ是需要被控制的远程主机，用户名和密码均为root，可以看到命令执行结果提示为拒绝访问，抓取该命令对应的SMB数据包如下：

针对上述无法登录解决原因是远程主机的UAC限制，因此需要在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System中新增DWORD项 LocalAccountTokenFilterPolicy ，并将其值设为1，需要重启电脑，就可以绕过UAC的限制，参考这里，如下：

可以看到微软加强了UAC的限制，想要直接把PsExec当做后门并不容易，是需要绕过UAC的。

PsExec 使用

再次使用psexec在本地启动了和远程\DESKTOP-4NR18EQ主机交互的命令窗口，如下图执行psexec64 -u DESKTOP-4NR18EQ\root -p root -i \\DESKTOP-4NR18EQ cmd命令：

启动远程cmd命令窗口后，则会进入到远程主机\DESKTOP-4NR18EQ的C:\Windows\System32的目录下，在该窗口上执行的命令相当于在主机\DESKTOP-4NR18EQ本地执行的命令whoami。

上图中在执行psexec64 -u DESKTOP-4NR18EQ\root -p root -i \\DESKTOP-4NR18EQ cmd命令后，观察主机\DESKTOP-4NR18EQ的进程和文件变化，如下：

可以看到远程主机\DESKTOP-4NR18EQ的Windows目录多出了PSEXESVC.exe的文件，同时该服务已经启动，如下：

因此可以得出结论就是，当在本地执行命令执行psexec64 -u DESKTOP-4NR18EQ\root -p root -i \\DESKTOP-4NR18EQ cmd命令后，会主动向远程主机复制psexesvc.exe充当被控机器的服务端。值得注意的是psexesvc.exe只是的psexec64.exe的一部分，这一点会在后续的SMB流量分析的过程中体现，详见文章《SMB攻击利用之-psexec流量数据包分析一》，这里。

退出该命令行交互，则会结束psexesvc进程以及删除psexecsvc.exe文件。

以上就是PsExec相关内容的介绍，希望对你日常工作有所帮助，后续SMB流量分析更精彩，可以移步至专栏我的专栏《SMB攻击流量数据包分析》，详见这里。

本文为优快云村中少年原创文章，未经允许不得转载，博主链接这里。