hacktricks/windows-hardening/lateral-movement/psexec-and-winexec.md
2024-04-06 18:13:31 +00:00

4.5 KiB

PsExec/Winexec/ScExec

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

¿Cómo funcionan?

El proceso se describe en los siguientes pasos, ilustrando cómo se manipulan los binarios de servicio para lograr la ejecución remota en una máquina objetivo a través de SMB:

  1. Copia de un binario de servicio en el recurso ADMIN$ a través de SMB.
  2. Creación de un servicio en la máquina remota apuntando al binario.
  3. El servicio se inicia de forma remota.
  4. Al salir, el servicio se detiene y el binario se elimina.

Proceso de Ejecución Manual de PsExec

Suponiendo que hay un payload ejecutable (creado con msfvenom y obfuscado usando Veil para evadir la detección de antivirus), llamado 'met8888.exe', que representa un payload meterpreter reverse_http, se siguen los siguientes pasos:

  • Copia del binario: El ejecutable se copia al recurso ADMIN$ desde un símbolo del sistema, aunque también se puede colocar en cualquier lugar del sistema de archivos para permanecer oculto.

  • Creación de un servicio: Utilizando el comando sc de Windows, que permite consultar, crear y eliminar servicios de Windows de forma remota, se crea un servicio llamado "meterpreter" que apunta al binario cargado.

  • Inicio del servicio: El paso final implica iniciar el servicio, lo que probablemente resultará en un error de "tiempo de espera" debido a que el binario no es un binario de servicio genuino y no devuelve el código de respuesta esperado. Este error es inconsecuente ya que el objetivo principal es la ejecución del binario.

La observación del listener de Metasploit revelará que la sesión se ha iniciado con éxito.

Conoce más sobre el comando sc.

Encuentra pasos más detallados en: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

También podrías usar el binario de Windows Sysinternals PsExec.exe:

También puedes usar SharpLateral:

{% code overflow="wrap" %}

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName

{% endcode %}

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks: