Psexec和wmiexec的原理和區別

PSEXEC

針對遠程建立連接的方式有兩種，一種先建立IPC通道連接，然后直接使用，操作如下：

net use \\192.168.0.1\ipc$ “password” /user:administrator

psexec.exe \\192.168.0.1 cmd                   進入半交互式cmdshell  ；

另一種時在psexec的參數中指定賬戶密碼    操作如下：

psexec.exe \\192.168.0.1 –u administrator –p password

執行原理：

1.通過ipc$連接，釋放psexecsvc.exe到目標

2.通過服務管理SCManager遠程創建psexecsvc服務，並啟動服務。

3.客戶端連接執行命令，服務端啟動相應的程序並執行回顯數據。

4.運行完后刪除服務。這個在windows的日志中有詳細的記錄，另外psexec在少數情況下會出現服務沒刪除成功的bug，所以一般不推薦使用psexec，推薦wmiexec

工具說明：

需要遠程系統開啟admin$共享

建立IP超鏈接后可以不指定用戶名和密碼

不能僅拷貝文件不行執行，拷貝時可以建立ipc連接后拷貝

在啟動psexec建立連接后，遠程系統上會被安裝一個服務:psexecsvc，安裝服務會留下日志，而且psexec推出時有可能服務刪除失敗，所以不推薦使用psexec

wmiexec

wmi介紹

全稱是Windows management instrumentation，它出現在所有的Windows操作系統中，並由一組強大的工具集合組成，用於管理本地或遠程的Windows系統，攻擊者使用wmi來進行攻擊，但Windows系統默認不會再日志中記錄這些操作，可以做到無日志，攻擊腳本無需寫入到磁盤，增加了隱蔽性。推薦使用wmiexec進行遠程執行命令

wmiexec介紹

大牛使用VBS腳本調用WMI來模擬 psexec 的功能，於是乎WMIEXEC 就誕生了。基本上psexec 能用的地方，這個腳本也能夠使用。整個過程是先調用WMI通過賬號密碼或者NTLM認證（WCE注入）連接到遠程計算機，然后如果提供了賬號密碼，則用這個賬號密碼建立一個到目標的IPC連接。隨后WMI會建立一個共享文件夾，用於遠程讀取命令執行結果。 當用戶輸入命令時，WMI創建進程執行該命令，然后把結果輸出到文件，這個文件位於之前創建的共享文件夾中。最后，通過FSO組件訪問遠程共享文件夾中的結果文件，將結果輸出。當結果讀取完成時，調用WMI執行命令刪除結果文件。最后當WMIEXEC退出時，刪除文件共享。

常用命令

獲取半交互式shell

cscript.exe //nologo wmiexec.vbs /shell 192.168.0.1 username password

在遠程系統上執行單條命令

cscript.exe wmiexec.vbs /cmd 192.168.0.1 username password “cmdkey /list”

在遠程系統上執行bat腳本

cscript.exe wmiexec.vbs /cmd 192.168.0.1 username password c:\programdata\test.bat

上面是提供賬號密碼的情況，如果有時候我們抓取到的是hash，破解不了時可以利用WCE的hash注入，然后再執行wmiexec(不提供賬號密碼)就可以了，操作如下：

wce –s 賬號:主機名或域的名字:LM:NTLM

cscript //nologo wmiexec.vbs /shell 192.168.0.1

注意：日過抓取的LM hash是AAD3開頭的，或者是No Password之類的，計用32個0代替LM hash