Seguro que conoces la herramienta BloodHound para enumeración de dominios. Llevamos años disfrutando de esta pedazo de herramienta que te muestra gráficamente "los pasos" a seguir para liquidarte un Active Directory... bueno entre comillas...
Como sabes, la herramienta se basa en una parte servidora y un cliente o "ingestor" que recopila los gráficos contra Active Directory para su posterior visionado. Bien...
La teoría siempre es buena, pero la práctica a veces se complica, por ejemplo, con un antivirus de nueva generación que me detecta el uso del "ingestor" tanto por exe, como por Powershell.
Gracias al proyecto del señor https://twitter.com/jpg1nc y su proyecto, nos pone en nuestras manos la solución. Usar Presentationhost.exe un lolbins del sistema que no "pasa" por el radar de applocker, antivirus y demás.
Presentationhost.exe es un binario del sistema que ejecuta aplicaciones XAML en el contexto del navegador pero bajo el proceso presentationhost, como decíamos, "inmume" a la detección a fecha de hoy...
El autor nos indica cómo podemos "llamar" a un binario compilado en C# que es el ingestor original, pero en lenguaje .net. De esta manera se pueden evitar restricciones de Powershell.
Entonces, teniendo el método desarrollado, podemos iniciar el proceso en nuestra máquina víctima:
presentationhost.exe path/to/sharphound.xbap
La llamada a la aplicación nos abrirá un internet explorer con la llamada al ingestor.
Imagina la cantidad de llamadas que podemos hacer usando este método. Mil gracias al desarrollador !!!
Aunque me gustaría, la idea no es mía y el artículo original pertenece a este tipo. Mi intención es solo divulgativa y a efectos personales de chuleta.