Ps/At/WmiExec平替SCShell的基础利用

PsExec经过身份验证后会将PSEXESVC.exe上传到目标计算机的admin$共享文件夹中，再将PSEXESVC.exe文件复制到远程计算机临时目录内

（C:WindowsTemp或C:Users%user%AppDataLocalTemp等）

并安装启动服务。PsExec会使用当前用户权限执行命令或程序，并将执行结果返回给本机。整个流程会导致在目标机器上留下一些痕迹容易被排查，通常不建议使用，杀软拦截时可尝试。

通过远程计算机上的计划任务功能创建并执行指定的任务，因为计划任务无法直接回显命令结果所以是将命令写入文件再读取文件，AtExec工具简化了步骤，全程自动创建任务-运行任务-445端口读取结果。

WMI服务提供对本地和远程计算机上的系统信息和资源的访问。wmiexec就是通过WMI接口与目标机器进行通信并发送需执行的操作并接收响应结果（135端口执行命令，445端口读取回显）。WMI本身提供的类和方法可以在不需要访问目标计算机桌面的情况下实现机器之间的系统管理等操作。

作者解释：

SCShell是一种无文件横向移动工具，依赖ChangeServiceConfigA来运行命令。这个工具的优点在于它不会对SMB执行身份验证。所有操作都是通过DCERPC进行的。该程序可以远程执行，无需注册服务或创建服务。它还不必在远程系统上放置任何文件。

DCERPC（Distributed Computing Environment Remote Procedure Call）：分布式计算环境远程过程调用。是一种远程过程调用协议（RPC），主要解决在不同系统之间进行分布式计算和通信的问题。DCERPC协议定义了一种标准方法，使不同计算机上的程序能够通过网络相互通信。通过DCERPC，应用程序可以在网络上的不同节点之间调用远程服务或过程，就像调用本地函数一样简单。这种机制使得分布式计算和跨平台通信变得更加容易和透明。

●1、SCShell所有操作全流程均通过DCERPC完成，所以只需要目标开启RPC服务。相比AtExec、WmiExec就不需要目标开启smb来读取命令结果，相对情况下也就不会留下命令痕迹。

● 2、SCShell整个流程是通过修改目标现有服务实现命令执行，相比AtExec和PsExec不会创建新的服务和释放二进制文件。并且写入Payload和运行服务分开，同时执行完毕还会自动恢复服务。所以更加隐蔽也规避了一些杀软。

● 3、通过SCShell你可以直接在目标上编译程序，如果环境没问题的话。比如远程下载/分块写入源码，再通过msbuild编译程序。

打开SCShell.c代码进行分析，这部分接收参数我们跳过。

● 这部分代码主要用于身份验证。第34行使用了LogonUserA内置函数进行身份验证，获取该用户的访问令牌。第48行通过ImpersonateLoggedOnUser内置函数模拟刚才经过验证过的用户，让当前线程可以代表该用户执行操作类似runas命令的作用。

●第54行通过OpenSCManagerA内置函数打开服务控制管理器并获取和打印句柄。

●第62行通过OpenServiceA内置函数打开我们指定的服务并打印句柄。

●再通过71行QueryServiceConfigA内置函数读取服务的配置信息，并将其保存在由 GlobalAlloc 分配的内存块中。最后读取/打印服务的可执行文件路径。

●然后重点来了，第84行通过ChangeServiceConfigA函数修改服务写入Payload并打印。这个函数可以更改指定服务的配置信息/属性，如：启动类型、错误控制等。

●ChangeServiceConfigA函数使用/排错参考官方文档：

https://learn.microsoft.com/zh-cn/windows/win32/api/winsvc/nf-winsvc-changeserviceconfiga

●再通过92行代码启动服务执行Payload。完事再通过102行代码去还原配置清理痕迹。

●总结整个流程就是：验证身份=>打开服务管理器=>读取指定服务配置=>修改服务配置=>启动服务=>清理痕迹。

●注意运行服务是没有回显的，如果需要回显提供几个基础思路可以尝试二开：

1、写入结果到文件。

2、通过smb读取文件。

3、简单命令尝试通过DNS外带结果。