[译]psexec杂谈

原文地址：http://pen-testing.sans.org/blog/pen-testing/2013/03/18/a-penetration-testers-pledge

psexec(包含Metasploit中的psexec， nmap中的smb-psexec脚本，以及Microsoft Sysinternals)这些工具在后渗透中及其有用。psexec可以在全补丁的系统上运行，一旦获得SMB访问权限和admin口令(username和密码，或者username和hash来进行传递hash攻击)，就可以使用本地权限执行代码或使用Metasploit。
psexec长处在于方便你你拿下服务器后，进行提权，获取管理员口令，扩展攻击。
我们可以将psexec使用场景：
1. 使用Metasploit的psexec版本，它支持pass-the-hash攻击。而且可以选择TCP 445以外的端口，可以用来中转到其他主机的攻击
2. 如果想大规模运行某些命令，那么应该尝试nmap脚本引擎，同样支持pass-the-hash攻击。
3. 如果处于一个禁止使用Metasploit或nmap的环境中，那么应该尝试Microsoft的SysInternals中的psexec。它不会被杀毒软件查杀。不支持pass-the-hash。但是可以使用Windows Credentials Editor(WCE)来把你的口令注入到内存中，然后再使用Sysinternals的psexec。
psexec通过创建一个SMB连接来工作，把你想执行的代码写到文件系统，在机器上创建一个服务，使用这个服务来执行你的代码。如果使用Metasploit版本的psexec，它会在使用完成后自动删除服务，代码(Metasploit和nmap中的服务和代码都有一个伪随机的名字)。
注意：Sysinternals版本的psexec不会自动删除psexec创建的服务。
可以使用下面的命令删除服务和代码：

C:\> sc \\<RemoteTarget> stop psexesvc

C:\> del \\<RemoteTarget>\admin$\psexesvc.exe

C:\> del \\<RemoteTarget>\admin$\system32\psexesvc.exe

C:\> sc \\<RemoteTarget> delete psexesvc

更重要的一点，Sysinternal版本psexec的除了使用当前的口令外，还允许你使用不同的username和password(-u username -p password)。如果不使用-u username -p password参数，那么使用你的客户端和目标支持的微软认证方式来认证。另外如果使用-u username -p password，那么他们会以明文传送