Uma ferramenta que é um canivete suíço em pentest em redes windows é o crackmapexec .
Se quisermos fazer uma enumeração na rede por hosts que possuem SMB ativo, executamos da seguinte forma.
Copy ┌──(user㉿kali)-[~/Desktop]
└─$ crackmapexec smb 172.16.1.0/24 130 ⨯
[*] Initializing WINRM protocol database
[*] Initializing LDAP protocol database
[*] Initializing MSSQL protocol database
[*] Copying default configuration file
[*] Generating SSL certificate
SMB 172.16.1.107 445 SMB [*] Windows 6.1 (name:SMB) (domain:) (signing:False) (SMBv1:True)
SMB 172.16.1.60 445 SRVINT [*] Windows Server 2008 R2 Enterprise 7600 x64 (name:SRVINT) (domain:gbusiness.rede) (signing:True) (SMBv1:True)
SMB 172.16.1.5 445 SERVER5 [*] Unix (name:SERVER5) (domain:SERVER5) (signing:False) (SMBv1:True)
SMB 172.16.1.4 445 WKS01 [*] Windows 5.1 (name:WKS01) (domain:gbusiness.rede) (signing:False) (SMBv1:True)
Podemos ver todos os módulos da ferramenta.
Para utilizar apenas em alguns hosts, podemos colocá-los em um arquivo e informar. Também podemos informar um usuário e senha, assim a ferramenta irá tentar conectar com essas credenciais nesses hosts e exibindo quando tem privilégios administrativos (irá retorna a mensagem Pwn3d! caso tiver).
Copy cat hosts
172.16.1.241
172.16.1.243
172.16.1.253
crackmapexec smb <hosts> -d <domínio> -u <usuário> -p <senha> Se quisermos usar um módulo para habilitar o rdp.
Copy crackmapexec smb <host> -u <usuário> -p <senha> -M rdp -o ACTION=enable Algumas vezes, pode ter um firewall que bloqueia essa ação, com isso, se temos uma shell no alvo podemos utilizar o comando a seguir na máquina alvo.
Copy netsh advfirewall add rule name="rpd" protocol=TCP dir=in localport=3389 action=allow