2. impacket - psexec.py
Last updated
Last updated
SMB μ°κ²° λ° μΈμ¦
SMBConnectionμ μ¬μ©νμ¬ TCP 445 ν¬νΈ(κΈ°λ³Έμ μΌλ‘) λλ 139 ν¬νΈλ₯Ό ν΅ν΄ SMBλ‘ λμμ μ°κ²°
NTLM ν΄μ κΈ°λ° μΈμ¦(Pass-the-Hash) λλ Kerberos μΈμ¦ μ§μ
μΈμ¦μ΄ μλ£λλ©΄ IPC$ 곡μ μ μ κ·Ό
μ격 μλΉμ€ λ±λ‘ λ° μ€ν
RemComSvc κΈ°λ°μΌλ‘ μλΉμ€ μ€μΉ λ° μ€ν
ServiceInstall ν΄λμ€λ₯Ό νμ©νμ¬ PSEXESVC λλ RemCom_communication κ°μ μ΄λ¦μΌλ‘ μλΉμ€ λ±λ‘
SCManagerλ₯Ό ν΅ν΄ \\\\PIPE\\\\svcctlλ‘ RPC DCE/RPC νΈμΆ μ€ν
λͺ λ Ή μ€ν λ° κ²°κ³Ό λ°ν
cmd.exe μ€ν ν νμ€ μΆλ ₯(STDOUT) λ° νμ€ μ€λ₯(STDERR) 리λλ μ
RemoteStdInPipe, RemoteStdOutPipe, RemoteStdErrPipe ν΄λμ€λ₯Ό ν΅ν΄ λͺ
λ Ή μ€ν κ²°κ³Ό μ λ¬
μ격 λ‘κ·ΈμΈ μ΄λ²€νΈ (Pass-the-Hash νμ§)
[AD FS] Event ID 4672 (Special Logon)
μ격 μλΉμ€ μ€μΉ νμ§
[AD FS] Event ID 7045 (μλΉμ€ μ€μΉ)
%systemroot%\ μλ λλ€ν 8μ리 λ¬Έμμ΄λ‘ .exe μ λ‘λλ¨
μ격 곡μ μ κ·Ό (SMB νλ)
[AD FS] Event ID 5140 & 5145 (SMB μ κ·Ό)
곡μ λ 리μμ€ μ΄λ¦: IPC$, ADMIN$
SMBλ₯Ό ν΅ν΄ μ격 λͺ λ Ή μ€ν μλ
μ격 νλ‘μΈμ€ μ€ν (cmd.exe)
[AD FS] Event ID 4688 (νλ‘μΈμ€ μμ±)
2.μμ μμ±ν μλΉμ€κ° Creator Process Nameμ΄ λκ³ , SYSTEM κΆνμΌλ‘ cmdκ° μ€νλλ κ²μ νμΈν μ μμ
