hacktricks/windows-hardening/lateral-movement/psexec-and-winexec.md

PsExec/Winexec/ScExec

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式：

• 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
• 获取官方PEASS & HackTricks周边产品
• 发现PEASS家族，我们的独家NFTs
• 加入 💬 Discord群 或 电报群 或 关注我们的Twitter 🐦 @carlospolopm。
• 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。

它们是如何工作的

以下是服务二进制文件如何被操纵以通过SMB在目标机器上实现远程执行的步骤概述：

1. 通过SMB将服务二进制文件复制到ADMIN$共享。
2. 通过指向二进制文件在远程机器上创建服务。
3. 远程启动服务。
4. 退出时，停止服务并删除二进制文件。

手动执行PsExec的过程

假设存在一个可执行有效载荷（使用msfvenom创建，并使用Veil进行混淆以规避杀毒软件检测），名为'met8888.exe'，代表一个meterpreter reverse_http有效载荷，采取以下步骤：

• 复制二进制文件：从命令提示符将可执行文件复制到ADMIN$共享，尽管它可以放置在文件系统的任何位置以保持隐藏。
• 创建服务：利用Windows sc命令，允许远程查询、创建和删除Windows服务，创建一个名为"meterpreter"的服务，指向上传的二进制文件。
• 启动服务：最后一步涉及启动服务，这可能会导致"超时"错误，因为二进制文件不是真正的服务二进制文件，无法返回预期的响应代码。这个错误并不重要，因为主要目标是执行二进制文件。

观察Metasploit监听器将显示会话已成功启动。

了解更多关于sc命令的信息。

在这里找到更详细的步骤：https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

您还可以使用Windows Sysinternals二进制文件PsExec.exe：

您也可以使用SharpLateral:

{% code overflow="wrap" %}

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName

{% endcode %}

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

支持HackTricks的其他方式：

• 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks，请查看订阅计划!
• 获取官方PEASS & HackTricks周边产品
• 发现PEASS家族，我们的独家NFTs
• 加入 💬 Discord群 或 电报群 或 关注我们的Twitter 🐦 @carlospolopm。
• 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。