Make sure you have staging directory set up with the tools listed below
Download the full suite of tools can be downloaded from the following links: win.zip and lin.zip
This zip files contain a variety of post-exploit tools listed beneath. Both files can be unzipped with the password: "methodo"
note windows-resources__kali-list.zip is a zip file containing windows-resources that can be found by default in Kali at the path /usr/share/windows-resources
set-up public target file
Dirs, env & connection
lin
set-up file transfer srvs
service scans
set-up loot & brute files
touch users.txt user_info.txt real_passwords.txt brt_password.txt creds.txt
/home/kali/Documents/OSCP/AD-Set/files_upload
.
├── Windows
├── domain_user
│ ├── adalanche-collector-windows-386-v2024.1.11.exe
│ ├── adalanche-windows-x64-v2024.1.11.exe
│ ├── Find-WMILocalAdminAccess.ps1
│ ├── Kerbrute_386.exe
│ ├── powerview.ps1
│ ├── Rubeus.exe
│ └── SharpHound.ps1
├── local_admin
│ ├── Find-WMILocalAdminAccess.ps1
│ ├── lateral.txt
│ ├── Mimikatz
│ │ ├── mimikatz64.exe
│ │ └── mimikatz.exe
│ ├── powerview.ps1
│ ├── Procdump
│ │ ├── Eula.txt
│ │ ├── procdump64a.exe
│ │ ├── procdump64.exe
│ │ ├── procdump.exe
│ │ └── Procdump.zip
│ ├── PSTools
│ │ ├── PsExec64.exe
│ │ ├── PsExec.exe
│ │ ├── PsLoggedon64.exe
│ │ ├── PsLoggedon.exe
│ │ └── PSTools.zip
│ └── weaken.bat
├── local_user
│ ├── Find-WMILocalAdminAccess.ps1
│ ├── ncat.exe
│ ├── nc.exe
│ ├── nmap.exe
│ ├── PowerUp.ps1
│ ├── Seatbelt.exe
│ ├── SeImpersonatePrivilege
│ │ ├── GodPotato-NET2.exe
│ │ ├── GodPotato-NET35.exe
│ │ ├── GodPotato-NET4.exe
│ │ ├── PrintSpoofer64.exe
│ │ ├── Rogue-Potato
│ │ │ ├── Chisel
│ │ │ │ ├── Linux
│ │ │ │ │ └── chisel_1.7.7_linux_amd64.gz
│ │ │ │ └── Windows
│ │ │ │ └── chisel_1.7.7_windows_amd64.gz
│ │ │ ├── _config.yml
│ │ │ ├── LICENSE
│ │ │ ├── nc64.exe
│ │ │ └── README.md
│ │ └── RoguePotato.exe
│ ├── weaken.bat
│ ├── wget.exe
│ └── winPEASx64.exe
├── pivot
│ ├── ligolo_agent
│ │ └── ligolo_x64
│ │ ├── agent.exe
│ │ ├── LICENSE
│ │ ├── ligolo-ng_agent_0.6.2_windows_amd64.zip
│ │ └── README.md
│ ├── nmap.exe
│ ├── pscp64.exe
│ └── putty
│ ├── putty_x64
│ │ ├── PAGEANT.EXE
│ │ ├── PLINK.EXE
│ │ ├── PSCP.EXE
│ │ ├── PSFTP.EXE
│ │ ├── PUTTY.CHM
│ │ ├── PUTTY.EXE
│ │ ├── PUTTYGEN.EXE
│ │ └── putty_x64.zip
│ └── putty_x86
│ ├── PAGEANT.EXE
│ ├── PLINK.EXE
│ ├── PSCP.EXE
│ ├── PSFTP.EXE
│ ├── PUTTY.CHM
│ ├── PUTTY.EXE
│ ├── PUTTYGEN.EXE
│ └── putty_x86.zip
├── powercat.ps1
├── pscp64.exe
└── windows-resources__kali-list.zip
Linux
├── lin.zip
├── local_root
├── local_user
│ ├── baron_samedit
│ │ ├── asm
│ │ │ ├── tinylib.asm
│ │ │ └── tinysh.asm
│ │ ├── exploit_cent7_userspec.py
│ │ ├── exploit_defaults_mailer.py
│ │ ├── exploit_nss_d9.py
│ │ ├── exploit_nss_manual.py
│ │ ├── exploit_nss.py
│ │ ├── exploit_nss_u14.py
│ │ ├── exploit_nss_u16.py
│ │ ├── exploit_timestamp_race.c
│ │ ├── exploit_userspec.py
│ │ ├── gdb
│ │ │ ├── cmds_cent7
│ │ │ ├── cmds_cent8
│ │ │ ├── cmds_deb10
│ │ │ ├── cmds_deb9
│ │ │ ├── cmds_u14
│ │ │ ├── cmds_u16
│ │ │ ├── cmds_u18
│ │ │ ├── gdbexp.py
│ │ │ ├── gdbroot.py
│ │ │ ├── parse.py
│ │ │ └── patch.py
│ │ ├── LICENSE
│ │ └── README.md
│ ├── dxsearch.py
│ ├── internal_services_check.sh
│ ├── linpeas_linux_amd64
│ ├── linpeas.sh
│ ├── netfilter.c
│ ├── PwnKit
│ │ ├── imgs
│ │ │ ├── exploit.png
│ │ │ ├── oneliner.png
│ │ │ └── patched.png
│ │ ├── LICENSE
│ │ ├── Makefile
│ │ ├── PwnKit
│ │ ├── PwnKit32
│ │ ├── PwnKit.c
│ │ ├── PwnKit.sh
│ │ └── README.md
│ ├── unix-privesc-check
│ └── x64_static_binaries
│ ├── curl
│ ├── ncat
│ ├── nmap
│ └── socat
└── pivot
├── dnscat2
│ ├── dnscat2_client
│ └── dnscat2_server
├── ligolo_linux_agent
│ ├── agent
│ └── dnscat_client_exersice
├── nmap
└── socat
bloodhound
webdav
.11 (d), .12 (d) etc.
bloodhound (d)
users.txt (f)
passwords.txt (f)
user_info.txt (f)
pub_targets.txt (f)
int_targets.txt (f)
nmap_pub.txt (f)
nmap_int.txt (f)
ligolo-tunnel
oscp-main
Lin : 8001
Kali-attack-tools
curated password list, e.g. python user2pass.py
list with real passwords only
valid user:pass list, separated by ':'
list of user loot, e.g. john:J0hn123!
11-ms01/ms02 etc.
trgt-file-upload
pwsh_encoced...py
evil-library-ms.py
powercat.py
ligolo_proxy
Win : 8000
smbserver
source ~/.bashrc
ctfgen --ctfname AD-Set --platform OSCP --trgt1 <ms01_IP> --scan-trgt1
cd /home/$USER/Documents/OSCP-RSC/files_upload/Windows; python -m http.server 8000
users.txt
user_info.txt
cd /home/$USER/Documents/OSCP-RSC/files_upload; impacket-smbserver share . -user test -password test -smb2support
list of usernames collected
brt_passwords.txt
real_passwords.txt
creds.txt
win
nmap -p $(rustscan -a $trgt1 -g | cut -d '[' -f2 | cut -d ']' -f1) $trgt1 -sVC -Pn -vv -oN nmap_thorough.out
cd /home/$USER/Documents/OSCP-RSC/files_upload/Linux; python -m http.server 8001
sudo nmap -sU -Pn $trgt1 -oN nmap_udp.out -vv
nmap -F $trgt1
touch pub_targets.txt
Action plan example
5
4
3
Thorough http checks
google, ncat
10
HTTP (full)
9
enum unknown ports
6
8
etc...
enum SNMP
7
enum MSSQL
enum RPC
Quick http checks, dirs, subd etc.
null / anonymous
null
anonymous
SNMP std & SNMP mibs
null & non userlist As-rep
basic DNS, hosts file, subd
enum SMB, FTP
enum LDAP
HTTP (quick)
enum DNS
nmap vuln scan
sudo nmap -p $(rustscan -a $trgt1 -g | cut -d '[' -f2 | cut -d ']' -f1) $trgt1 --script vuln -vv
2
1
Review the output of previous scans and create an action plan.
Generally, check for quick wins first, e.g. null login, anonymous access, webpaths etc., before digging deeper