Arkiverat

Detta ämne är nu arkiverat och det går inte längre svara i det.

.RIHTT

Ps exec (kontrollera annan dator LAN)

Recommended Posts

Hej.

Jag har en xp-terminal inom mitt lokala LAN som ej svarar på lokal input.
 
Ctrl-Alt-Del   ger menyvalet  

 Men man kan ej nå task manager för att avsluta processen.

(det är meningen att slutanvändarna inte ska kunna göra det här by design....
Litet bakslag för en tekniker dock <_<  ) 

Man kan dock ta logout, shutdown samt reboot. 
Men det är lika sofistikerat som att stänga av/på  strömknappen i princip. 


Hade jag haft radmin server eller liknande installerat på datorn kunde man ju busenkelt upprättat terminalfönster mot den.
Men nu kan jag ju inte det. 



Så dök denna video upp i mitt minne.
Framspolat:  3: 38
 


Ingen barnlek.
Men han förklarar iaf att med ett substitut för psexec- kunde upprätta session meterpreter till sin frysta dator
från ett annat system. Och döda processen.

Hur han lyckades är dock vårt projekt att lösa. 
Jag antar fjärrdatorn måste lyssna på nätverkstrafik, då all lokal input är inaktiverat.
Hur han fick en payload exekverad, och vilken sort är främsta pusslet att lösa.




PS Kommentar.
Varför SysInternals PsExec inte nödvändigtvis kommer fungera för mig:


"As with many of the tools in the PsTools suite, PsExec's ability to run processes remotely requires that both the local and remote computers have file and print sharing (i.e., the Workstation and Server services) enabled

and that the default Admin$ share (a hidden share that maps to the \windows directory) is defined on the remote system. "



 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

PS.  Detta program är inte XP-specifikt, stödjer NT 4. -  framåt


Update:

Hade ett nytt ärende, där jag fick chansen att prova på psexec.


Bakgrund:
En klient-terminal på ett hotell har en imagebyggd windows7
Den har automatisk windows logon *behöver ej ange användare vid start
Den sitter på ett eget subnät med statisk ip.
Efter en händelse (troligen strömbortfall,störningar)
gick 2st  terminaler ner.

Blåskärm på den ena, och nu stod plötsligt den här Windows7-klienten i ett utloggat läge.
liknande Bild

Det gick heller inte logga in med varken förslagen "Användaren" eller att ange
"Administrator" som det bör vara.


Omstarter gav samma resultat.
Är den hackad?  Har någon användare plötsligt mixtrat med konton?


Åtgärder:
Start i felsäkert läge testades utan framgång.
Övervägde UEFI/USB Boot då lokal rescue_partition saknas.
Maskinen svarade på ping.
Det gick dock inte slå upp katalog från en enhet som tidigare gjort det:

\\dator
\\dator\c$    <--- hidden share på admin




Försök med PSExec:
Upprättade från samma enhet som innan, psexec i kommandotolken och fick åtminstone
en respons, negativ sådan. Åtkomst nekad.

Provade en del allmänna utan resultat.
Man kan framkalla att cmd körs på fjärrsystemet med högre behörigheter:

psexec \\remote -u remote\administrator

Testade alternativa user-switchar och argument med antingen nekad åtkomst eller inget svar.
Började bli trött och kvällen närmade sig (utan lunch) !
Då gav jag upp psexec och istället testade om  enhet2 kunde göra databasuppslag på den...


enhet2  &   Försök2    (SQL   WTF!?)

start applikation
server kontakt etablerad (!)
read/write success.

Helt otroligt. Enhet 2  kunde arbeta med normal prestanda mot sql-servern som finns på den låsta datorn.
Men psecex kunde inte göra ett dugg*
Jag antog då att i utloggat läge så låser windows7 ute det mesta.   +  UAC.

Därefter tog jag till en beprövad backdoor med utilman.exe hacket
Systemdisken monterades som slave, backup togs på kritiska filer.
Skiftade namn på utilman och cmd.
Bootade om.

Då vid login-screen fick jag äntligen fram kommandotolken och tog mig in:
 

net users

net user administrator *

Listade först utifall någon ändrat/adderat användare.
blanksteg och *   ger möjlighet att ange nytt lösen till adminkontot och detta skriver man i blindo vilket kan förvilla första gången. 



*Förklaring/Efterspel

psexec ska kunna köras som SYSTEM på målsystemet. Vilket jag provade.
Detta hjälpte förmodligen inte pga att  UAC som man isf bör komma åt först:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

ska sättas till 1 på

LocalAccountTokenFilterPolicy 



*SQL fungerade pga att brandväggen tillåter det. port 1433.

Så kan jag rekommendera psexec? njae troligen inte.




 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

  • Liknande innehåll

    • Av Lasse B
      Fråga, lite osäker.
      Kollade igenom vilka program som startar upp i autostart.
      Lite osäker på en.
      Nvidia Backend ( 3 ) kan man inaktivera denna ??
      Lasse
    • Av EnRIz
      Hej alla glada!
       
      Mormor har fått tag i en Scanner(SHARP AL-1555) som är ansluten via USB(finns ingen nätverksport på) och jag skulle vilja installera mjukvara som Skannar in vad som finns på flatbädden(mataren verkar trasig), och mailar resultatet som PDF/JPEG till hennes epost. 

      Jag har googlat, kollat på SHARPs egen mjukvara men jag kan inte få de knappar och inställningar som följer med scannern att funka. Jag kan skanna via olika mjukvaror, men jag vill göra det enkelt för mormor och slippa lära henne krångliga procedurer i nya program.
       
      Finns det någon mjukvara som kan göra det jag vill? Det får gärna vara krångligt att konfigurera, kräva batchskript och externa servrar, bara användningen är smidig och enkel(Gärna något som kan dubbelklickas på och bara funkar). Burken kör Vista.
    • Av Skull Kid
      Jag vet mycket väl att det går att inaktivera och aktivera program som redan finns i "Autostart", men inte hur man lägger till program här? Vet någon hur man gör?
    • Av Kakmonster
      Hallå gott folk!
      Min Windows Live Messenger-klient (senaste versionen) autostartar precis som jag vill då jag startar Windows 7, men den ställer sig alltid i "osynligt" läge. Hur gör jag om jag istället vill att Messenger skall starta i "grönt" online-läge så alla på min lista ser när jag slår på datorn och finns tillgänglig? Som läget är nu måste jag alltså ändra online-läge manuellt varje gång jag slagit på datorn, och jag hittar faktiskt ingen inställning alls som reglerar vilken slags online-status som skall vara "default" när Live Messenger startar.
      Alltså: hur får man Windows Live Messenger att starta med "grön" online-status så alla på min lista ser att jag är online?
      LÖST:
      Det visar sig att lösningen fanns i den här tråden där det med pedagogiska skärmdumpar förklaras att inställningen jag letar faktiskt finns, men att den syns först då man loggar ut ur Live Messenger (vilket jag normalt inte har anledning att göra). Lite klantigt att gömma en inställning kan tyckas, enklast hade ju varit att ha "default-status"-valet bland alla andra inställningar.