PsExec/Winexec/ScExec

它们是如何工作的

以下步骤概述了服务二进制文件如何被操纵以通过SMB在目标机器上实现远程执行：

1. 通过SMB将服务二进制文件复制到ADMIN$共享。

2. 通过指向二进制文件在远程机器上创建服务。

3. 远程启动服务。

4. 退出后，停止服务并删除二进制文件。

手动执行PsExec的过程

假设存在一个可执行负载（使用msfvenom创建，并使用Veil进行混淆以规避杀毒软件检测），名为'met8888.exe'，代表一个meterpreter reverse_http负载，采取以下步骤：

• 复制二进制文件：可执行文件从命令提示符复制到ADMIN$共享，尽管它可以放置在文件系统的任何位置以保持隐藏。

• 创建服务：利用Windows sc命令，允许远程查询、创建和删除Windows服务，创建一个名为"meterpreter"的服务，指向上传的二进制文件。

• 启动服务：最后一步涉及启动服务，这可能会导致"超时"错误，因为二进制文件不是真正的服务二进制文件，无法返回预期的响应代码。这个错误不重要，因为主要目标是执行二进制文件。

观察Metasploit监听器将显示会话已成功启动。

了解更多关于sc命令的信息。

在https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/中找到更详细的步骤。

您还可以使用Windows Sysinternals二进制文件PsExec.exe：

您也可以使用SharpLateral:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName