Operator-Toolkits — Katalog & Referenz.
Meterpreter, PowerShell und der erweiterte Pentest-Toolkit-Katalog — empfohlene Defaults pro Slot, ergänzt um Linux- und Python-Operator-Notizen.
Toolkit pro Slot — Standard + Fallback
- C2. Standard Sliver (Open Source, modern, robust). Fallback Cobalt Strike (noch die polierte Baseline, IOC-laut). Mythic für Engagements mit modularen Agent-Bedarf.
- Initial Access — Windows. Standard
InveighZerofür LLMNR/NBT-NS-Responder +ntlmrelayx-Kette. Fallbackresponder+impacket-ntlmrelayx. - Credential-Dump — Windows. Standard
nanodump(PROCEXP152-Style, umgeht viele EDR-LSASS-Hooks). Fallbacksecretsdump.py -ntdsvia VSS-Shadow-Copy auf DC. - Lateral Movement. Standard WinRM via
evil-winrm(am leisesten), dann SMB-Exec viaimpacket-psexec, letzter Ausweg DCOM viaimpacket-dcomexec. - Privilege-Escalation-Enum. Standard
winPEAS/linPEAS. FallbackPowerUp.ps1für Windows-Token-Pfade. - Exfiltration. Standard DNS über Cloudflare DoH (
iodine, custom). Fallback HTTPS zu Angreifer-Domain mit valid Let's Encrypt Cert.
Meterpreter — Kommandos auswendig
- Session-Management.
background,sessions -i N,sessions -u NShell→Meterpreter upgraden,sessions -Kalle killen. - Pivoting.
route add 10.10.10.0/24 N, dannauxiliary/server/socks_proxyoperator-seitig. - Post-Module.
post/windows/gather/hashdump,post/windows/manage/migrate,post/multi/recon/local_exploit_suggester. - Nicht.
getsystemauf EDR-gehärteten Hosts — jede Technik wird geflagged. Stattdessen credential-basierte Pfade.
PowerShell, die modernes EDR übersteht
- AMSI-Bypass.
amsi.dll!AmsiScanBufferin-Memory patchen bevor Payload geladen wird. Signaturen rotieren; aktuellen Loader nutzen. - Constrained-Language-Mode-Escape. Signierten Binary finden, der angreifer-kontrollierte DLL lädt (DLL-Hijack via signierte COM-/RunDLL-Oberfläche).
- Vermeiden:
Invoke-Expression,DownloadString. Beide ETW-geloggt und signature-matched. Lieber[Reflection.Assembly]::Load([Convert]::FromBase64String(...))mit rotierter Obfuskation. - PowerShell-Logging auf Script-Block-Ebene deaktivieren. ETW patchen via
ntdll!EtwEventWrite-Hook vor jedem geloggten Kommando.
Linux-Post-Foothold
- Capability-Enum.
getcap -r / 2>/dev/null.cap_setuid,cap_dac_read_search,cap_sys_adminsind sofortige Wege zu root. - SUID-Ketten.
find / -perm -4000 -type f 2>/dev/null. Jedes Resultat gegen GTFOBins prüfen. - Kernel-Exploit-Auswahl.
uname -a+linux-exploit-suggester.sh. Nur letzter Ausweg — Kernel-Exploits crashen Hosts, Scope explizit dokumentieren. - Cron + systemd.
cat /etc/crontab /etc/cron.*/* 2>/dev/null;systemctl list-timers. Beschreibbare Cron-Scripts laufen oft genug als root, um zuerst zu prüfen. - Mount + Path-Injection.
mount | grep -v nosuidfür fehlende nosuid-Mount-Option;echo $PATHfür beschreibbare PATH-Einträge vor Root-Kommandos.
FaustregelTool an die defensive Haltung des Hosts anpassen. Cobalt Strike auf vanilla-Defender-Host ist okay. Cobalt Strike auf Crowdstrike-managed Host ist ein schneller Weg, erwischt zu werden. Wissen, was sie betreiben, bevor du lädst.
Verwandte Notizen in dieser Domain
- Featured Umfassende Pentest-Referenz
- Featured Pentest-Methodik — kanonische Referenz
- Featured Advanced Pentest & Red Team
- Featured Recon & Discovery
- Featured Web Server — Angriff & Verteidigung
- Featured Active Directory Pentest
- Featured Internal Pivoting & Lateral Movement
- Referenz Recon-Tooling — Operator-Referenz
- Referenz Automatisierung vs. manuelles Testing
- Background Social Engineering & Phishing
- Background Pentester-Grundlagen & CTF-Praxis
Von der Referenz zum Befund