hacktricks/windows-hardening/ntlm/psexec-and-winexec.md

PsExec/Winexec/ScExec

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
• Obtén merchandising oficial de PEASS & HackTricks
• Descubre The PEASS Family, nuestra colección exclusiva de NFTs
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

¿Cómo funcionan?

El proceso se describe en los siguientes pasos, ilustrando cómo se manipulan los binarios de servicio para lograr la ejecución remota en una máquina objetivo a través de SMB:

1. Copia de un binario de servicio en el recurso ADMIN$ a través de SMB.
2. Creación de un servicio en la máquina remota apuntando al binario.
3. El servicio se inicia de forma remota.
4. Al salir, el servicio se detiene y el binario se elimina.

Proceso de Ejecución Manual de PsExec

Suponiendo que hay un payload ejecutable (creado con msfvenom y obfuscado usando Veil para evadir la detección de antivirus), llamado 'met8888.exe', que representa un payload meterpreter reverse_http, se siguen los siguientes pasos:

• Copia del binario: El ejecutable se copia al recurso ADMIN$ desde un símbolo del sistema, aunque también se puede colocar en cualquier lugar del sistema de archivos para permanecer oculto.

• Creación de un servicio: Utilizando el comando sc de Windows, que permite consultar, crear y eliminar servicios de Windows de forma remota, se crea un servicio llamado "meterpreter" que apunta al binario cargado.

• Inicio del servicio: El paso final implica iniciar el servicio, lo que probablemente resultará en un error de "tiempo de espera" debido a que el binario no es un binario de servicio genuino y no devuelve el código de respuesta esperado. Este error es inconsecuente ya que el objetivo principal es la ejecución del binario.

La observación del listener de Metasploit revelará que la sesión se ha iniciado con éxito.

Conoce más sobre el comando sc.

Encuentra pasos más detallados en: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

También podrías usar el binario de Windows Sysinternals PsExec.exe:

También puedes usar SharpLateral:

{% code overflow="wrap" %}

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName

{% endcode %}

Aprende hacking en AWS desde cero hasta experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

• Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
• Obtén el swag oficial de PEASS & HackTricks
• Descubre La Familia PEASS, nuestra colección exclusiva de NFTs
• Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
• Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.