在滲透測試中,橫向移動(Lateral Movement)是指攻擊者在獲得一個系統的控制權限后,通過網絡進一步滲透到其他系統的過程。Impacket 是一款強大的滲透測試工具集,提供了多種實現橫向滲透的腳本,常見的工具包括 psexec.py、smbexec.py、atexec.py、dcomexec.py 和 wmiexec.py。盡管這些工具都可以執行遠程命令,但它們在工作原理、依賴的服務以及使用條件上有顯著差異。下面我們將對這些工具進行詳細的對比分析。
1. psexec.py
psexec.py 是 Impacket 中非常經典的工具,仿照了 Microsoft 的 PsExec 工具。它通過 SMB(Server Message Block)協議和 RPC(遠程過程調用)服務實現遠程命令執行。具體流程是,psexec.py 在目標主機上通過 SMB 上傳一個可執行文件,然后利用 RPC 啟動該文件作為服務,從而執行命令。
工作原理
- SMB 連接:
psexec.py首先嘗試通過 SMB 協議連接到目標主機。 - 文件上傳: 一旦連接成功,它會將一個可執行文件上傳到目標系統的共享文件夾(如
ADMIN$)。 - 服務啟動: 之后,
psexec.py會利用 RPC 啟動該服務,從而在目標系統上執行遠程命令。
依賴服務
- SMB 服務: 需要目標主機開放 SMB 服務(通常是 TCP 445)。
- RPC 服務: 依賴于 RPC(遠程過程調用)來啟動服務。
端口需求
- TCP 445: 用于 SMB 通信,這是
psexec.py的核心端口。 - TCP 139: 在早期的 SMB 版本中,可能使用這個端口進行通信,但現代 SMB 使用 TCP 445。
優缺點
- 優點: 操作簡單,且不依賴于目標主機上的額外服務,只要 SMB 和 RPC 可用即可。且以管理員權限登錄后直接以 SYSTEM 權限執行命令。
- 缺點: 容易被防火墻和入侵檢測系統檢測到,因為上傳文件和服務啟動的行為很容易暴露。尤其是在目標環境中開啟了 SMB 端口的安全監控時,攻擊行為會被察覺。
2. smbexec.py
smbexec.py 是 Impacket 中的另一個工具,功能與 psexec.py 相似,但工作方式略有不同。它同樣依賴于 SMB 協議來執行遠程命令,但與 psexec.py 不同,smbexec.py 不需要上傳可執行文件。相反,它利用共享資源(如 ADMIN$ 或 C$)直接在目標主機上執行命令。這使得 smbexec.py 相比 psexec.py 更加隱蔽。
工作原理
- SMB 連接:
smbexec.py通過 SMB 協議連接到目標系統。 - 共享資源: 一旦連接成功,它通過目標主機上的共享資源(如
ADMIN$或C$)來執行命令。 - 遠程命令執行: 命令通過 SMB 共享直接在目標系統上執行,而不需要上傳任何可執行文件。
依賴服務
- SMB 服務:
smbexec.py完全依賴于 SMB 服務來實現命令執行。 - 無 RPC 服務依賴: 與
psexec.py不同,smbexec.py不依賴于 RPC 服務來啟動進程或服務。
端口需求
- TCP 445: 同樣需要通過 TCP 445 端口進行 SMB 通信。
- TCP 139: 在某些情況下,如果目標系統使用較舊的 SMB 協議,可能還會使用 TCP 139。
優缺點
- 優點: 相比
psexec.py,smbexec.py不需要上傳文件,減少了被檢測到的風險。它利用現有的共享資源直接執行命令,這使得攻擊行為更加隱蔽。 - 缺點: 依賴目標系統的共享權限。如果目標系統的共享權限配置嚴格,可能無法成功執行命令。此外,某些安全工具可能會對共享資源的異常訪問進行監控。
3. atexec.py
atexec.py 是另一個用于遠程執行命令的工具,但它與 psexec.py 和 smbexec.py 的工作原理有所不同。它通過 Windows 的任務計劃程序(Task Scheduler)服務來執行命令。atexec.py 將命令作為計劃任務添加到目標機器中,然后立即執行。
工作原理
- 任務計劃程序:
atexec.py將命令注冊為計劃任務。 - 立即執行: 任務一旦添加到目標系統中,會立即啟動執行命令。
依賴服務
- SMB 服務: 需要通過 SMB 協議與目標主機建立連接。
- RPC 服務: 需要 RPC 服務來與目標系統的任務計劃服務進行交互。
端口需求
- TCP 445 和 TCP 135: 需要通過這些端口與目標主機的 SMB 和 RPC 服務進行通信。
優缺點
- 優點: 任務計劃程序是 Windows 系統中常用的工具,執行命令的過程相對隱蔽,且不需要上傳額外的文件。
- 缺點: 需要目標系統的任務調度服務可用,而且某些目標系統可能會對計劃任務進行嚴格的安全控制。
4. dcomexec.py
dcomexec.py 是通過 DCOM(分布式組件對象模型)協議進行遠程命令執行的工具。它使用已注冊的 DCOM 應用程序(如 MMC20.Application 或 ShellWindows)來執行命令。由于 DCOM 協議較少用于滲透測試,它的攻擊行為更難被發現。
工作原理
- DCOM 協議:
dcomexec.py通過 DCOM 協議與目標主機建立連接,并利用已注冊的 DCOM 應用程序執行命令。
依賴服務
- DCOM 服務: 需要目標系統啟用 DCOM 服務。
- RPC 服務: 需要通過 RPC 與目標系統進行通信。
端口需求
- TCP 445 和 TCP 135: 需要這兩個端口來與目標主機的 SMB 和 RPC 服務進行通信。
- 高端端口: DCOM 可能會使用動態分配的高端端口(49152-65535)進行通信。
優缺點
- 優點: DCOM 協議較為隱蔽,不容易被傳統防火墻或入侵檢測系統監測到。
- 缺點: 依賴于 DCOM 服務,且目標系統可能會有防御措施。
5. wmiexec.py
wmiexec.py 是通過 Windows 管理工具(WMI)來執行遠程命令的工具。WMI 是 Windows 系統的強大管理工具,允許管理員和攻擊者遠程管理系統。wmiexec.py 利用 WMI 來執行命令,是一種極為隱蔽的滲透工具。
工作原理
- WMI 協議: 通過 WMI 協議執行命令,不需要上傳可執行文件。
- 遠程命令: 命令通過 WMI 在目標主機上執行,避免了傳統的文件上傳和服務創建。
依賴服務
- WMI 服務: 需要目標系統啟用 WMI 服務。
- RPC 服務: 需要通過 RPC 與目標系統進行通信。
端口需求
- TCP 445 和 TCP 135: 用于與 SMB 和 RPC 服務進行通信。
- 高端端口: WMI 可能會使用動態分配的高端端口(49152-65535)。
優缺點
- 優點: 非常隱蔽,不容易被防火墻或入侵檢測系統檢測到。
- 缺點: 需要目標系統啟用 WMI 服務,并且某些配置可能限制遠程命令執行。
結論
不同的工具有不同的應用場景和優缺點。psexec.py 和 smbexec.py 都依賴于 SMB 協議來實現遠程命令執行,但前者需要上傳文件,后者則通過共享資源直接執行命令。atexec.py 通過任務計劃服務實現遠程執行,適用于不希望留下文件痕跡的情況;dcomexec.py 和 wmiexec.py 則依賴于較為隱蔽的協議(DCOM 和 WMI),適用于需要繞過傳統安全檢測的場景。選擇合適的工具應基于目標環境的安全防護措施、可用端口以及需要繞過的防火墻策略來做出決定。
)
)
入門指南:從生物啟發的原理到現代架構演進)
