• psexec.py规避杀软


      前言

      在内网渗透中,当获取到一个账号密码后,经常会使用impacket套件中的psexec.py进行远程连接并执行命令,但是因为用的人多了,杀软也对psexec.py特征进行了拦截,也就导致了如果使用默认的psexec.py进行执行命令时会失败。

      原理分析

      psexec.py的原理是通过smb上传一个服务程序到c:\windows(ADMIN$)目录,服务程序通过管道进行后续的命令执行的输入输出。

      服务程序来自于remcomsvc.py:

    image-20220202154142470.png

      服务安装通过serviceinstall.py进行:

    image-20220202154257907.png

      服务和服务文件的名字默认是随机的:

    image-20220202154435362.png

      直接psexec.py不带任何参数,上传过去的服务文件名就长这样:

    image-20220202154531337.png

      因此为了防止奇奇怪怪的名字很容易被机器负责人发现,psexec.py也是提供了相应的参数用来自定义:

    image-20220202154745539.png

      这里要提一嘴的是,因为UAC的缘故,如果RID不是500,就算账号是管理员也是没权限上传文件到ADMIN$目录,程序报错如下:

    image-20220202152542982.png

      改造

      默认情况下,使用psexec.py会被拦截:

    image-20220202155144783.png

    image-20220202155118856.png

    image-20220202155601814.png

      根据上面的杀软截图能看到是服务程序被拦截,因此我们需要对服务程序进行修改来尝试绕过杀软,源码在这:

      https://github.com/kavika13/RemCom

      这里可以尝试修改print的输出:

    image-20220202160926347.png

      或者修改管道名称:

    image-20220202161001349.png

      然后重新生成RemComSvc,然后转成hex:

    import binascii
    filename = 'RemComSvc.exe'
    with open(filename, 'rb') as f:
      content = f.read()
    print(binascii.hexlify(content))

      最终可以规避杀软进行命令执行:

    image-20220202161206479.png

      总结

      本文介绍了通过修改服务程序来绕过杀软,让psexec.py再次大放异彩。

      更多靶场实验练习、网安学习资料,请点击这里>>

  • 相关阅读:
    kbmMW RunInTransaction
    有感Delphi 2021路线图
    kbmMW 5.13.00 Scheduler不执行SynchronizedAfterRun
    Delphi 10.4.1的编译器bug终于修正了!
    OUI作者开源作品
    kali安装pwntools遇到的一些问题
    电子公文传输系统团队项目
    AI 学习框架
    Linux top命令的用法详细详解
    c# DateTime时间格式和JAVA时间戳格式相互转换
  • 原文地址:https://www.cnblogs.com/hetianlab/p/16249153.html
Copyright © 2020-2023  润新知