Почему PSEXEC к своему компу выдает «Не найден сетевой путь.»?



@Nordman99

Всем доброго дня!
Давно пользуюсь утилитами Sysinternals, с помощью утилиты PSEXEC из данного пакета использую давно известный многим сисадминам трюк запуска нужной проги от имени пользователя SYSTEM:

psexec -i -s «путь к проге»

дальше как известно psexec коннектится к своему компу и запускает нужную прогу с указанными правами
у меня это работало и вдруг перестало, при выполнении psexec вдруг стал выдавать:

Error creating key file on MYCOMP:
Не найден сетевой путь.

Если загуглить то данная проблема возникает в 2-х случаях:
1. Отсутствуют общие административные ресурсы: admin$, C$ и т.д. у меня они как были так и есть
2. После предыдущего запуска PSEXEC осталась запущенной созданная им служба PSEXESVC, проверил — да есть такое — остановил и удалил данную службу, руками удалил файл PSEXESVC.exe — но это не помогло
Перезагрузил комп — непомогло

Тогда решил пустить в ход другую утилиту из Sysinternals — PROCMON и отследить запуск PSEXEC`а
из полученных результатов оставил только результаты где сообщалось о какой либо ошибке
В итоге получил вывод https://pastebin.com/TQm8wQa2
Кому не лень будет глянуть, но так как многим будет скорее всего лень то приведу наиболее бросающиеся в глаза записи:

9:28:26,2575975	PsExec.exe	8044	CreateFile	C:\Windows\CRYPTBASE.DLL	NAME NOT FOUND	Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2585523	PsExec.exe	8044	CreateFileMapping	C:\Windows\SysWOW64\cryptbase.dll	FILE LOCKED WITH ONLY READERS	SyncType: SyncTypeCreateSection, PageProtection: PAGE_EXECUTE_READWRITE|PAGE_NOCACHE
9:28:26,2587377	PsExec.exe	8044	RegQueryValue	HKLM\System\CurrentControlSet\Control\CI\Disable26178932	NAME NOT FOUND	Length: 20
9:28:26,2589390	PsExec.exe	8044	RegQueryValue	HKLM\System\CurrentControlSet\Control\CI\Disable26178932	NAME NOT FOUND	Length: 80
9:28:26,2612182	PsExec.exe	8044	RegQueryValue	HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy	NAME NOT FOUND	Length: 20
9:28:26,2612685	PsExec.exe	8044	RegQueryValue	HKLM\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy\MDMEnabled	NAME NOT FOUND	Length: 20
9:28:26,2614259	PsExec.exe	8044	RegOpenKey	HKLM\System\CurrentControlSet\Policies\Microsoft\Cryptography\Configuration	NAME NOT FOUND	Desired Access: Query Value
9:28:26,2627492	PsExec.exe	8044	CreateFileMapping	C:\Windows\SysWOW64\ntmarta.dll	FILE LOCKED WITH ONLY READERS	SyncType: SyncTypeCreateSection, PageProtection: PAGE_EXECUTE_READWRITE|PAGE_NOCACHE
9:28:26,2629904	PsExec.exe	8044	RegQueryValue	HKLM\System\CurrentControlSet\Control\CI\Disable26178932	NAME NOT FOUND	Length: 20
9:28:26,2631748	PsExec.exe	8044	RegQueryValue	HKLM\System\CurrentControlSet\Control\CI\Disable26178932	NAME NOT FOUND	Length: 80
9:28:26,2650913	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2651806	PsExec.exe	8044	CreateFile	\\MYCOMP\admin$\PSEXEC-MYCOMP-78B0AE2E.key	BAD NETWORK PATH	Desired Access: Generic Write, Read Attributes, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: 0
9:28:26,2654191	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2657058	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2660304	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2663944	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2667002	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2669347	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2743799	PsExec.exe	8044	RegOpenKey	HKLM\SOFTWARE\Microsoft\LanguageOverlay\OverlayPackages\ru-RU	NAME NOT FOUND	Desired Access: Read
9:28:26,2747004	PsExec.exe	8044	CreateFile	C:\Windows\SysWOW64\ru-RU\KERNELBASE.dll.mui	NAME NOT FOUND	Desired Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Delete, AllocationSize: n/a
9:28:26,2750867	PsExec.exe	8044	CreateFileMapping	C:\Windows\System32\ru-RU\KernelBase.dll.mui	FILE LOCKED WITH ONLY READERS	SyncType: SyncTypeCreateSection, PageProtection: PAGE_EXECUTE_READWRITE|PAGE_NOCACHE
9:28:26,2758980	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2759784	PsExec.exe	8044	CreateFile	\\MYCOMP\admin$\PSEXEC-MYCOMP-78B0AE2E.key	BAD NETWORK PATH	Desired Access: Read Attributes, Delete, Disposition: Open, Options: Non-Directory File, Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2761844	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a
9:28:26,2770422	PsExec.exe	8044	CreateFileMapping	C:\Windows\SysWOW64\kernel.appcore.dll	FILE LOCKED WITH ONLY READERS	SyncType: SyncTypeCreateSection, PageProtection: PAGE_EXECUTE_READWRITE|PAGE_NOCACHE
9:28:26,2772473	PsExec.exe	8044	RegQueryValue	HKLM\System\CurrentControlSet\Control\CI\Disable26178932	NAME NOT FOUND	Length: 20
9:28:26,2774864	PsExec.exe	8044	RegQueryValue	HKLM\System\CurrentControlSet\Control\CI\Disable26178932	NAME NOT FOUND	Length: 80
9:28:26,2796769	PsExec.exe	8044	RegQueryValue	HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles	NAME NOT FOUND	Length: 20
9:28:26,2871999	PsExec.exe	8044	RegQueryValue	HKLM\System\CurrentControlSet\Services\bam\State\UserSettings\S-1-5-21-XXXXXX-XXXXXXX-XXXXXXX-XXXX\\Device\HarddiskVolume3\Windows\PsExec.exe	NAME NOT FOUND	Length: 40

Это самые последние записи в логе PROCMONа и они больше всего бросаются в глаза, как я вижу судя по строчке:

9:28:26,2761844	PsExec.exe	8044	CreateFile	C:\Windows\CSC\v2.0.6\namespace\MYCOMP	NAME NOT FOUND	Desired Access: Read EA, Write EA, Read Attributes, Write Attributes, Delete, Read Control, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a

В папке C:\Windows\CSC\v2.0.6\namespace psexec толи пытается создать файл или папку, толи просто ищет файл или папку MYCOMP (то есть имя моего компа) и ненаходит
Так же пытается:

9:28:26,2759784	PsExec.exe	8044	CreateFile	\\MYCOMP\admin$\PSEXEC-MYCOMP-78B0AE2E.key	BAD NETWORK PATH	Desired Access: Read Attributes, Delete, Disposition: Open, Options: Non-Directory File, Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a

Создать ключ доступа PSEXEC-MYCOMP-78B0AE2E.key в шаре admin$ и не может

Владелец папка C:\Windows\CSC и всех подпапок — группа Администраторов с правами полного доступа (я сделал)
psexec запускаю есс-но от имени админа

Пробовал также:

psexec -i -s \\127.0.0.1 "путь к проге"
psexec -i -s \\localhost "путь к проге"
psexec -i -s \\MYCOMP "путь к проге"

Общий доступ к файлам и принтерам для всех сетей открыт, порты TCP 135 и 445 нужные для PSEXECa открыл — все равно ничего не помогает, при попытке выполнения PSEXEC задумывается при строчке:
Copying authentication key to MYCOMP...
Подумает подумает и выкидывает:

Error creating key file on MYCOMP:
Не найден сетевой путь.


Решения вопроса 0


Ответы на вопрос 0

Добавить комментарий

Ваш адрес email не будет опубликован.