域横向移动工具对比

以下是 psexec、smbexec、wmiexec、evil-winrm 和 dcomexec 横向移动工具的对比及其适用场景分析:

1. PsExec

核心特点

  • 协议与端口:基于 SMB(TCP 445)和 RPC(TCP 135)协议,需上传可执行文件到目标主机并创建服务。
  • 隐蔽性:较低,文件上传和服务创建行为易被安全监控发现。
  • 权限要求:需管理员权限,执行后默认以 SYSTEM 权限运行。

适用场景

  • 目标环境开放 SMB 服务:适合内网中 SMB 端口(445)开放且未严格监控的环境。
  • 批量管理或部署:例如在多台主机上执行相同命令或部署软件。
  • 快速提权:通过 SYSTEM 权限执行敏感操作(如添加用户、修改注册表)。

2. SMBexec

核心特点

  • 协议与端口:同样依赖 SMB(TCP 445),但无需上传文件,直接通过共享资源(如 ADMIN$)执行命令。
  • 隐蔽性:高于 PsExec,避免文件残留和服务创建,减少检测风险。
  • 权限要求:需要共享资源的访问权限,通常需管理员权限。

适用场景

  • 隐蔽横向移动:适合需要绕过传统文件检测的场景。
  • 共享环境渗透:在目标主机共享权限宽松时,快速执行命令或窃取文件。
  • 与 PsExec 互补:当 PsExec 被拦截时,可作为替代方案。

3. WMIexec

核心特点

  • 协议与端口:基于 WMI(Windows Management Instrumentation),依赖 TCP 135 和动态高端端口(49152-65535)。
  • 隐蔽性:极高,利用 WMI 的合法管理功能,命令执行痕迹较少。
  • 权限要求:需启用 WMI 服务,且用户需具备远程执行权限。

适用场景

  • 绕过传统安全检测:适用于防火墙严格过滤 SMB 流量的环境。
  • 企业内网管理:合法场景下用于跨域系统管理或监控。
  • 渗透测试中的隐蔽操作:例如持久化后门或信息收集。

4. Evil-WinRM

核心特点

  • 协议与端口:基于 WinRM(Windows Remote Management)协议,默认使用 HTTP 5985 或 HTTPS 5986 端口。
  • 功能特性:支持明文密码、哈希传递、文件传输、脚本加载(如 Mimikatz)。
  • 隐蔽性:中等,WinRM 流量可能被日志记录,但支持 SSL 加密提升隐蔽性。

适用场景

  • 红队渗透测试:快速获取交互式 PowerShell 会话,执行复杂命令或加载攻击载荷。
  • 应急响应与信息收集:在已获取凭证的情况下,快速登录目标主机并收集数据。
  • 绕过出站流量限制:通过 HTTPS 加密通信,避免被流量审查工具拦截。

5. DCOMexec

核心特点

  • 协议与端口:基于 DCOM(分布式组件对象模型),依赖 TCP 135(RPC)和动态高端端口。
  • 隐蔽性:较高,DCOM 协议较少被安全工具重点监控。
  • 权限要求:需目标主机启用 DCOM 服务,且用户具备远程执行权限。

适用场景

  • 跨域横向移动:适用于多域环境,绕过传统 SMB/WMI 的检测机制。
  • 绕过防火墙策略:在 SMB 端口被封锁时,通过 DCOM 协议执行命令。
  • 持久化控制:利用 DCOM 组件(如 MMC20.Application)实现隐蔽后门。

对比总结

工具 协议 端口需求 隐蔽性 典型场景 优势 缺点
PsExec SMB/RPC 445, 135 快速批量操作、提权 简单易用,支持 SYSTEM 权限 易被检测,需上传文件
SMBexec SMB 445 隐蔽共享操作、绕过文件监控 无需文件上传,直接执行命令 依赖共享权限
WMIexec WMI 135 + 动态端口 隐蔽渗透、合法管理 利用合法协议,无文件残留 需 WMI 服务启用
Evil-WinRM WinRM 5985/5986 交互式会话、哈希传递 支持多种认证方式,功能丰富 需 WinRM 服务开启
DCOMexec DCOM 135 + 动态端口 跨域渗透、绕过传统检测 隐蔽性强,支持复杂环境 依赖 DCOM 配置,操作复杂

选择建议

  1. 优先隐蔽性:选择 WMIexecDCOMexec,尤其在需要绕过防火墙或安全监控时。
  2. 快速提权与批量操作:使用 PsExecSMBexec,适合内网 SMB 开放且监控宽松的环境。
  3. 交互式渗透Evil-WinRM 提供类似 SSH 的交互体验,适合红队操作。
  4. 跨域场景DCOMexec 在多域环境中更具优势。

如需进一步了解具体工具的命令示例或技术细节,可参考相关链接。