hacktricks/windows-hardening/ntlm/psexec-and-winexec.md

PsExec/Winexec/ScExec

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!

• Descubre The PEASS Family, nuestra colección de exclusivos NFTs

• Obtén el oficial PEASS & HackTricks swag

• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.

• Comparte tus trucos de hacking enviando PR al repositorio de hacktricks y al repositorio de hacktricks-cloud.

¿Cómo funcionan?

1. Copiar un binario de servicio en el recurso ADMIN$ a través de SMB
2. Crear un servicio en la máquina remota que apunte al binario
3. Iniciar el servicio de forma remota
4. Cuando se sale, detener el servicio y eliminar el binario

Ejecución manual de PsExec

Primero, supongamos que tenemos un ejecutable de carga útil que generamos con msfvenom y obfuscamos con Veil (para que el AV no lo detecte). En este caso, creé una carga útil de meterpreter reverse_http y la llamé 'met8888.exe'

Copiar el binario. Desde nuestra línea de comandos "jarrieta", simplemente copie el binario a ADMIN$. Realmente, podría ser copiado y ocultado en cualquier lugar del sistema de archivos.

Crear un servicio. El comando sc de Windows se utiliza para consultar, crear, eliminar, etc. servicios de Windows y se puede utilizar de forma remota. Lee más sobre ello aquí. Desde nuestra línea de comandos, crearemos de forma remota un servicio llamado "meterpreter" que apunta a nuestro binario cargado:

Iniciar el servicio. El último paso es iniciar el servicio y ejecutar el binario. Nota: cuando el servicio se inicia, "caduca" y genera un error. Eso se debe a que nuestro binario de meterpreter no es un binario de servicio real y no devolverá el código de respuesta esperado. Eso está bien porque solo necesitamos que se ejecute una vez para disparar:

Si miramos nuestro listener de Metasploit, veremos que se ha abierto la sesión.

Limpiar el servicio.

Extraído de aquí: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

También se puede utilizar el binario de Windows Sysinternals PsExec.exe:

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los PLANES DE SUSCRIPCIÓN!

• Descubre The PEASS Family, nuestra colección de exclusivos NFTs

• Obtén el oficial PEASS & HackTricks swag

• Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦@carlospolopm.

• Comparte tus trucos de hacking enviando PR al repositorio de hacktricks y al repositorio de hacktricks-cloud.