1. Lateral Movement in Active Directory
WMI and WinRM
WMI es un framework nativo de Windows para la gestión y monitoreo de sistemas. Permite consultar y modificar configuraciones del sistema (e.g., procesos, servicios, hardware) de forma remota
WinRM es un servicio de gestión remota basado en el protocolo WS-Management (SOAP sobre HTTP/HTTPS). Es más moderno y se usa para remoting en PowerShell (e.g., Invoke-Command o Enter-PSSession).
Commandos WMI
WMI en CMD
wmi /node:192.168.50.1 /user:Jen /password:Some123! process call create "calc"WMI en PowerShell
$user = "jen";
$password = "Some123!";
$secureString = ConvertTo-SecureString $password -AsPlaintext -Force;
$credentials = New-Objet System.Management.Automation.PSCredential $user, $secureString;
$options = New-CimSessionOption -Protocol DCOM;
$session = New-Cimsession -ComputerName 192.168.50.1 -Credential $credentials -SessionOption $options
$command = "calc.exe"; # Add any powershell reversepayload
Invoke-CimMethod -CimSession -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine =$Command};
DCOM (Distributed Component Object Model) sobre RPC (Remote Procedure Call), típicamente en puerto 135 (RPC endpoint mapper)
Ejecutar ambos retornara un PID y un status
Comandos WinRm
WinRM en CMd
WinRM en PowerShell
PsExec
PsExecPsExec es una herramienta muy versátil que forma parte del paquete SysInternals de Microsoft,. Su objetivo es sustituir a las aplicaciones similares a telnet y permitir la ejecución remota de procesos en otros sistemas a través de una consola interactiva.
PsExec funciona instalando temporalmente un servicio (PSEXESVC) en el host remoto, ejecutando el comando y limpiando después. Es detectable por EDR, por lo que en red teaming se recomienda ofuscación o alternativas como WMI/WinRM.
Comando
Requiere el binario de psexec installado, no viene por defecto
Pass The Hash
Pass the Hash La técnica Pass the Hash permite a un atacante autenticarse en un sistema o servicio remoto utilizando el hash NTLM (New Technology LAN Manager) de un usuario en lugar de la contraseña de texto plano asociada.
Commando en Kali
Última actualización