注：這篇文章只是作者做一個演示，可不是教大家做壞事。另外，安全工程師也可以做一個借鑒。

最近運(yùn)氣不好，拿下的某內(nèi)網(wǎng)，Server區(qū)全部不能外連，沒法反彈socks出來，導(dǎo)致滲透內(nèi)網(wǎng)其它網(wǎng)段的時候很辛苦。其中一臺MSSQL和Web是分離的，服務(wù)器雖然拿下了，但有時候上去執(zhí)行一些管理員權(quán)限才能執(zhí)行的命令時(該Server是IIS6+ASPX，權(quán)限不夠)，只能用reDuh上3389，但reDuh實(shí)在是太慢了，我現(xiàn)在用reDuh連終端的時候都設(shè)置的***分辨率(640 x 480)和***色彩(256色)，即使這樣好不容易上去了敲個命令還要等半天，實(shí)在讓人抓狂.....

然后想到了psexec.exe，它可以在提供用戶名密碼的情況下(120G RainbowTable在手，跑密碼目前還未受到過阻力)，以其它用戶的權(quán)限運(yùn)行程序，如果能在WebShell里面用它+密碼執(zhí)行管理員權(quán)限命令還是蠻方便的。立刻上傳嘗試，結(jié)果發(fā)現(xiàn)半天不返回結(jié)果，taskkill掉后在本機(jī)測試，發(fā)現(xiàn)***次執(zhí)行的時候會在本地桌面(console)彈出“最終用戶許可協(xié)議”提示，不點(diǎn)同意就不會繼續(xù)(我本來還報僥幸不在桌面環(huán)境運(yùn)行就不會彈呢)。如下圖。

我們需要的當(dāng)然是純命令行的工具，彈這東西真是煩人，所以得改造下，又拿出同樣是Sysinternals出品的Regmon監(jiān)控了下，發(fā)現(xiàn)相關(guān)鍵值記錄在HKEY_CURRENT_USER\Software\Sysinternals\PsExec下面，又拿出OllyDBG準(zhǔn)備調(diào)試修改一下，結(jié)果調(diào)試的時候發(fā)現(xiàn)原來這小工具還不是那么不可理喻，提供了一個自動接受“最終用戶許可協(xié)議”的參數(shù) -accesseula(更囧的是剛剛才發(fā)現(xiàn)***次運(yùn)行彈的框框上有提示這個參數(shù)- -！)

這就好辦了，上傳PsExec.exe后，就可以以下面的形式在權(quán)限比較低的WebShell里面執(zhí)行高權(quán)限系統(tǒng)命令了:

C:\WINDOWS\Temp\psexec.exe -accepteula \\127.0.0.1 -u administrator -p 654321 net user zerosoul 123456 /add

654321是管理員密碼，net user zerosoul 123456 /add是要執(zhí)行的命令。不過不到萬不可以可不要用加賬戶這么大動作的命令，呵呵。

當(dāng)然內(nèi)網(wǎng)滲透的時候psexec.exe不止這點(diǎn)本事，而且貌似psexec.exe比IPC$用at執(zhí)行命令來的方便。

再說說psloglist.exe，是個操作系統(tǒng)日志的小工具。查看Security日志一般能快速定位管理員IP，在內(nèi)網(wǎng)滲透的時候還是很有用的。

C:\WINDOWS\Temp\psloglist.exe -accepteula -g C:\WINDOWS\Temp\securitydump.evt security

上面這句命令可以把Security日志導(dǎo)出到C:\WINDOWS\Temp\securitydump.evt，down回本地后可以用事件查看器(eventvwr.msc)導(dǎo)入查看。位于C:\WINDOWS\system32\config\的Security日志原始文件SecEvent.Evt是可以下載的，但下載下來是沒法導(dǎo)入的。能記錄登陸IP的事件ID:682.

PsTools工具包可謂是小工具里經(jīng)典中的經(jīng)典了，否則MS怎么會收購它呢，呵呵。Sysinternals出品的東西都挺好用的，像PsList這些就不用說了，但要提一點(diǎn)的是，PsTools里，很多小工具的參數(shù)選項都有一句\\computer 。

恩，真是個不錯的參數(shù)。

PS：感覺在做內(nèi)網(wǎng)滲透的時候，拓?fù)鋱D能在很大程度上幫助我們分析內(nèi)網(wǎng)結(jié)構(gòu)，理清思路，特別是大而復(fù)雜的內(nèi)網(wǎng)，不畫圖的話分析會很散，也不直觀，很難組織到一起，所以在請教過大貓后，下載了個Visio(居然又是MS的...)，以后時刻準(zhǔn)備著畫圖。