{"id":13805,"date":"2025-09-04T10:48:12","date_gmt":"2025-09-04T08:48:12","guid":{"rendered":"https:\/\/www.vaadata.com\/blog\/?p=13805"},"modified":"2025-09-11T11:52:43","modified_gmt":"2025-09-11T09:52:43","slug":"netexec-loutil-pour-auditer-un-reseau-interne","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/netexec-loutil-pour-auditer-un-reseau-interne\/","title":{"rendered":"NetExec, l\u2019outil pour auditer un r\u00e9seau interne"},"content":{"rendered":"\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec.avif\" alt=\"NetExec\" class=\"wp-image-13806\"\/><\/figure>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-introduction\">Introduction<\/h2>\n\n\n\n<p>La s\u00e9curit\u00e9 d\u2019un r\u00e9seau interne repose sur plusieurs m\u00e9canismes parfois complexes \u00e0 appr\u00e9hender. Ces r\u00e9seaux s\u2019appuient souvent sur un syst\u00e8me centralis\u00e9 d\u2019authentification, impliquant une multitude d\u2019utilisateurs, de postes de travail et de services. Plus l\u2019entreprise grandit, plus son r\u00e9seau devient vaste et difficile \u00e0 contr\u00f4ler.<\/p>\n\n\n\n<p>C\u2019est dans ce contexte que l\u2019outil NetExec se distingue. Con\u00e7u pour faciliter l\u2019audit de r\u00e9seaux internes, il offre la possibilit\u00e9 de :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>s\u2019interfacer avec les services d\u2019authentification centrale de Microsoft ;<\/li>\n\n\n\n<li>exploiter les protocoles les plus courants de ces environnements ;<\/li>\n\n\n\n<li>interagir avec un tr\u00e8s grand nombre de machines ;<\/li>\n\n\n\n<li>fonctionner depuis n\u2019importe quelle machine pr\u00e9sente physiquement sur le r\u00e9seau.<\/li>\n\n\n\n<li>s&rsquo;ex\u00e9cuter sur tout type de syst\u00e8me d\u2019exploitation.<\/li>\n<\/ul>\n\n\n\n<p>Les techniques mises en \u0153uvre par NetExec ne lui sont pas exclusives : chacune pourrait \u00eatre reproduite par un outil d\u00e9di\u00e9. L\u2019int\u00e9r\u00eat de NetExec r\u00e9side dans sa capacit\u00e9 \u00e0 centraliser l\u2019ensemble de ces fonctionnalit\u00e9s au sein d\u2019un seul programme, simplifiant ainsi le travail d&rsquo;un auditeur.<\/p>\n\n\n\n<p>Dans cet article, nous pr\u00e9senterons les principes et le fonctionnement de NetExec. Nous d\u00e9taillerons \u00e9galement ses principales techniques et fonctionnalit\u00e9s dans le cadre d&rsquo;un pentest de r\u00e9seau interne en boite noire et en boite grise.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-guide-complet-sur-netexec\">Guide complet sur NetExec<\/h2>\n\n\n<div class=\"wp-block-aioseo-table-of-contents\"><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-principes-et-fonctionnement-de-netexec\">Principes et fonctionnement de NetExec<\/a><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-protocoles-pris-en-charge-par-netexec\">Protocoles pris en charge par NetExec<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-ciblage-des-machines\">Ciblage des machines<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-authentification\">Authentification<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-actions-natives-et-modules\">Actions\u00a0natives et modules de NetExec<\/a><\/li><\/ul><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-techniques-daudit-en-boite-noire-avec-netexec\">Techniques d\u2019audit en boite noire avec NetExec<\/a><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-analyse-du-reseau-et-des-services-ouverts\">Analyse du r\u00e9seau et des services ouverts<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-password-spraying\">Password Spraying via NetExec<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-acces-anonymes\">Identification d&#039;acc\u00e8s anonymes<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-attaque-kerbrute-userenum\">Attaque Kerbrute Userenum<\/a><\/li><\/ul><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-techniques-daudit-en-boite-grise\">Techniques d\u2019audit en boite grise<\/a><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-collecte-dinformations-sur-lannuaire-ldap\">Collecte d\u2019informations sur l\u2019annuaire LDAP<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-audit-des-partages-de-fichiers\">Audit des partages de fichiers<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-audit-des-services-mssql-avec-netexec\">Audit des services MSSQL avec NetExec<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-execution-de-commandes-et-post-exploitation\">Ex\u00e9cution de commandes et post-exploitation<\/a><ul><li><a class=\"aioseo-toc-item\" href=\"#aioseo-acces-aux-bureaux-a-distance-via-rdp-et-vnc\">Acc\u00e8s aux bureaux \u00e0 distance via RDP et VNC<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-execution-de-code-a-distance\">Ex\u00e9cution de code \u00e0 distance avec NetExec<\/a><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-post-exploitation-et-extraction-de-secrets\">Post-exploitation et extraction de secrets<\/a><\/li><\/ul><\/li><\/ul><\/li><li><a class=\"aioseo-toc-item\" href=\"#aioseo-conclusion\">Conclusion<\/a><\/li><\/ul><\/div>\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-principes-et-fonctionnement-de-netexec\">Principes et fonctionnement de NetExec<\/h2>\n\n\n\n<p>L\u2019utilisation de NetExec repose sur une commande de base :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc &lt;protocole&gt; &lt;cible(s)&gt; &#91;options]<\/code><\/pre>\n\n\n\n<p>Cette syntaxe constitue le point d\u2019entr\u00e9e pour interagir avec un ou plusieurs services d\u2019un r\u00e9seau interne.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-6f98cd60c79d4a77f0d81b633d70459b\" id=\"aioseo-protocoles-pris-en-charge-par-netexec\" style=\"color:#c0b800\">Protocoles pris en charge par NetExec<\/h3>\n\n\n\n<p>NetExec prend en charge de nombreux protocoles. La commande d\u2019aide (<code>nxc --help<\/code>) permet d\u2019en afficher la liste.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"128\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-protocols-list-1024x128.png\" alt=\"liste des protocoles g\u00e9r\u00e9s par NetExec\" class=\"wp-image-13810\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-protocols-list-1024x128.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-protocols-list-300x37.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-protocols-list.png 1380w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">liste des protocoles g\u00e9r\u00e9s par NetExec<\/figcaption><\/figure>\n\n\n\n<p>Chaque protocole offre des possibilit\u00e9s d\u2019interaction sp\u00e9cifiques :<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><thead><tr><th><strong>Protocole<\/strong><\/th><th><strong>Port(s) d\u2019\u00e9coute(s)<\/strong><\/th><th>Actions r\u00e9alisables<\/th><th>Description<\/th><\/tr><\/thead><tbody><tr><td><strong>LDAP<\/strong><\/td><td>389, 636<\/td><td>Divulgation d\u2019informations du domaine (utilisateurs, machines, services), \u00e9dition de propri\u00e9t\u00e9s et de configuration.<\/td><td>Service d\u2019annuaire expos\u00e9 par le contr\u00f4leur de domaine. Il contient toutes les informations d\u00e9crivant les objets et la configuration du domaine.<\/td><\/tr><tr><td><strong>WMI<\/strong><\/td><td>135<\/td><td>Ex\u00e9cution de code \u00e0 distance, collecte d\u2019informations techniques propres \u00e0 une machine.<\/td><td>Interface logicielle Microsoft fournissant des fonctions d\u2019administration. Accessible \u00e0 distance via RPC et DCOM.<\/td><\/tr><tr><td><strong>WINRM<\/strong><\/td><td>5985, 5986<\/td><td>Ex\u00e9cution de code \u00e0 distance.<\/td><td>Service de gestion et d\u2019administration \u00e0 distance d\u2019une machine, consid\u00e9r\u00e9 comme une version modernis\u00e9e de WMI.<\/td><\/tr><tr><td><strong>RDP<\/strong><\/td><td>3386<\/td><td>Acc\u00e8s graphique au bureau d\u2019une machine, ex\u00e9cution de code \u00e0 distance.<\/td><td>Service Microsoft permettant l\u2019acc\u00e8s et le contr\u00f4le graphique du bureau d\u2019une machine distante.<\/td><\/tr><tr><td><strong>MSSQL<\/strong><\/td><td>1433<\/td><td>Lecture\/\u00e9criture dans une base SQL, ex\u00e9cution de code \u00e0 distance.<\/td><td>Service de gestion des bases Microsoft SQL Server.<\/td><\/tr><tr><td><strong>SSH<\/strong><\/td><td>22<\/td><td>Ex\u00e9cution de code \u00e0 distance<\/td><td>Service d\u2019administration \u00e0 distance, principalement utilis\u00e9 par les syst\u00e8mes Unix.<\/td><\/tr><tr><td><strong>VNC<\/strong><\/td><td>5900<\/td><td>Acc\u00e8s graphique distant au bureau d\u2019une machine.<\/td><td>Service d\u2019acc\u00e8s distant non li\u00e9 \u00e0 Microsoft, alternative \u00e0 RDP.<\/td><\/tr><tr><td><strong>SMB<\/strong><\/td><td>445<\/td><td>Acc\u00e8s aux partages de fichiers.<br>Acc\u00e8s au syst\u00e8me de fichiers.<br>Ex\u00e9cution de commande \u00e0 distance.<\/td><td>Service de partage de fichiers de Microsoft, actif par d\u00e9faut sur Windows. Avec des privil\u00e8ges \u00e9lev\u00e9s, il permet d\u2019acc\u00e9der \u00e0 tous les fichiers d\u2019une machine et d\u2019ex\u00e9cuter du code \u00e0 distance.<\/td><\/tr><tr><td><strong>NFS<\/strong><\/td><td>2049<\/td><td>Acc\u00e8s aux partages de fichiers.<\/td><td>Service de partage de fichiers utilis\u00e9 dans des environnements non Microsoft.<\/td><\/tr><tr><td><strong>FTP<\/strong><\/td><td>21<\/td><td>Acc\u00e8s aux partages de fichiers<\/td><td>Service de transfert et partage de fichiers non li\u00e9 \u00e0 Microsoft.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Pour chacun de ces protocoles, NetExec propose des actions natives ou des modules permettant d\u2019analyser et exploiter efficacement la surface d\u2019attaque.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-38162212054ab05423fb8b23a29ba862\" id=\"aioseo-ciblage-des-machines\" style=\"color:#c0b800\">Ciblage des machines<\/h3>\n\n\n\n<p>Apr\u00e8s avoir d\u00e9fini le protocole avec lequel interagir, il faut sp\u00e9cifier les machines cibles. <\/p>\n\n\n\n<p>Cette information peut \u00eatre d\u00e9finie par un nom d\u2019h\u00f4te, une adresse IP, une plage d\u2019adresses IP, une notation CIDR, un fichier ou une combinaison de ces \u00e9l\u00e9ments s\u00e9par\u00e9s par un espace.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc &lt;protocole&gt; 192.168.56.10 <strong># adresse IP unique<\/strong>\nnxc &lt;protocole&gt; DC.EXEMPLE.COM <strong># nom d\u2019h\u00f4te<\/strong>\nnxc &lt;protocole&gt; ~\/fichier_cibles.txt <strong># fichier contenant une cible par ligne<\/strong>\nnxc &lt;protocole&gt; 192.168.56.0\/24 <strong># une plage d\u2019adresse IP<\/strong>\nnxc &lt;protocole&gt; 192.168.56.10-22 <strong># une notation cidr<\/strong>\nnxc &lt;protocole&gt; DC.EXEMPLE.COM  192.168.56.10-22 ~\/fichier_cibles.txt <strong># une combinaison<\/strong><\/code><\/pre>\n\n\n\n<p>Lorsque plusieurs cibles sont sp\u00e9cifi\u00e9es, NetExec parall\u00e9lise automatiquement les interactions. Cela permet de traiter rapidement des dizaines, voire des centaines de machines.<a id=\"_msocom_1\"><\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-6326a316151727471344ac9569884781\" id=\"aioseo-authentification\" style=\"color:#c0b800\">Authentification<\/h3>\n\n\n\n<p>De nombreuses actions n\u00e9cessitent un compte valide. La fa\u00e7on la plus simple de sp\u00e9cifier le compte avec lequel se connecter consiste \u00e0 utiliser les options \u00ab&nbsp;<code>-u\/--username<\/code>&nbsp;\u00bb et \u00ab&nbsp;<code>-p\/--password<\/code>&nbsp;\u00bb. <\/p>\n\n\n\n<p>L\u2019outil prendra alors le(s) nom(s) d\u2019utilisateur(s) et le(s) mot(s) de passe d\u00e9finis par ces options. <\/p>\n\n\n\n<p>En fonction du protocole et des options utilis\u00e9es, l\u2019outil cherchera \u00e0 s\u2019authentifier soit localement, soit via le service d\u2019authentification centrale du domaine (g\u00e9n\u00e9ralement <a href=\"https:\/\/www.vaadata.com\/blog\/fr\/authentification-ntlm-principes-fonctionnement-et-attaques-ntlm-relay\/\" target=\"_blank\" rel=\"noopener\" title=\"\">NTLM<\/a> ou <a href=\"https:\/\/www.vaadata.com\/blog\/fr\/authentification-kerberos-principes-et-fonctionnement\/\" target=\"_blank\" rel=\"noopener\" title=\"\">Kerberos<\/a>).&nbsp;<\/p>\n\n\n\n<p>Voici comment proc\u00e9der \u00e0 l\u2019authentification d\u2019un utilisateur :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><strong># Authentification centrale via NTLM ou local pour FTP,NFS,SSH et VNC.<\/strong>\nnxc &lt;protocole&gt; &lt;cible(s)&gt; -u &lt;login&gt; -p &lt;mot de passe&gt; &#91;-d &lt;domain&gt;]\n\n<strong># Authentification locale explicite pour LDAP, WMI, WINRM, RDP, MSSQL et SMB.<\/strong>\nnxc &lt;protocole&gt; &lt;cible(s)&gt; -u &lt;login&gt; -p &lt;mot de passe&gt; --local-auth \n\n<strong># Authentification centrale via kerberos pour tous les protocoles.<\/strong>\nnxc &lt;protocole&gt;  &lt;cible(s)&gt; -u &lt;login&gt; -p &lt;mot de passe&gt; -k &#91;-d &lt;domain&gt;]<\/code><\/pre>\n\n\n\n<p>Ainsi, NetExec tentera d\u2019interagir avec la machine cible et s\u2019authentifier avec le compte fourni. <\/p>\n\n\n\n<p>En plus des mots de passe, NetExec supporte d\u2019autres m\u00e9thodes comme l\u2019utilisation de hashes NTLM, de cl\u00e9s Kerberos, de certificats ou d\u2019identifiants stock\u00e9s dans sa base interne.<\/p>\n\n\n\n<p>Dans le retour de la commande, la r\u00e9ussite ou non de l\u2019authentification est indiqu\u00e9e explicitement.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"82\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-authentication-response-1024x82.png\" alt=\"\" class=\"wp-image-13819\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-authentication-response-1024x82.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-authentication-response-300x24.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-authentication-response-1536x123.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Retour d&rsquo;une commande NetExec indiquant la r\u00e9ussite et l&rsquo;\u00e9chec de connexion pour deux utilisateurs distincts<\/figcaption><\/figure>\n\n\n\n<p>De plus, ce retour de commande indiquera si l\u2019utilisateur en question dispose de privil\u00e8ges \u00e9lev\u00e9s sur la machine cible via la d\u00e9nomination \u00ab&nbsp;<code>pwned<\/code>!&nbsp;\u00bb ou \u00ab&nbsp;<code>admin<\/code>&nbsp;\u00bb.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-d2bfa023c583e336f97808929f1f9160\" id=\"aioseo-actions-natives-et-modules\" style=\"color:#c0b800\">Actions&nbsp;natives et modules de NetExec<\/h3>\n\n\n\n<p>En l\u2019absence d\u2019instruction d\u2019actions, l\u2019outil va v\u00e9rifier si le service sp\u00e9cifi\u00e9 est expos\u00e9 par les machines cibles et retournera des informations sur les machines concern\u00e9es. <\/p>\n\n\n\n<p>Dans le cas o\u00f9 des options d\u2019authentification sont fournies, alors l\u2019outil tentera une authentification et indiquera si les identifiants fournis ont fonctionn\u00e9 ou non.<\/p>\n\n\n\n<p>En revanche, NetExec propose via des options d\u00e9di\u00e9es des interactions utiles avec les protocoles : <\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Gestion de fichiers \u00e0 distance<\/strong> : <code>--ls<\/code>, <code>--dir<\/code>, <code>--put-file<\/code>, <code>--get-file<\/code><\/li>\n\n\n\n<li><strong>Collecte d\u2019informations sur le domaine ou la machine<\/strong> : <code>--users<\/code>, <code>--groups<\/code>, <code>--computers<\/code><\/li>\n\n\n\n<li><strong>Extraction de secrets et identifiants<\/strong> : <code>--sam<\/code>, <code>--ntds<\/code>, <code>--dpapi<\/code>, <code>--gmsa<\/code><\/li>\n\n\n\n<li><strong>Ex\u00e9cution de code ou requ\u00eates \u00e0 distance<\/strong> : <code>--query<\/code>, <code>-x<\/code>, <code>-X<\/code><\/li>\n<\/ul>\n\n\n\n<p>Cette liste n\u2019est pas exhaustive. La <a href=\"https:\/\/www.netexec.wiki\/\" target=\"_blank\" rel=\"noopener\" title=\"\">documentation officielle de NetExec<\/a> fournit l\u2019ensemble des options disponibles.<\/p>\n\n\n\n<p>En compl\u00e9ment, NetExec dispose de modules avanc\u00e9s. Ils permettent d\u2019effectuer des actions plus pouss\u00e9es sur un protocole donn\u00e9.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Pour obtenir la liste des modules li\u00e9s \u00e0 un protocole (option <code>-L<\/code>) :<\/strong><\/li>\n<\/ul>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc wmi -L<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"215\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/list-of-wmi-protocol-modules--1024x215.png\" alt=\"Liste des modules du protocole WMI retourn\u00e9 par la commande ci-dessus.\" class=\"wp-image-13821\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/list-of-wmi-protocol-modules--1024x215.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/list-of-wmi-protocol-modules--300x63.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/list-of-wmi-protocol-modules--1536x322.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Liste des modules du protocole WMI retourn\u00e9 par la commande ci-dessus.<\/figcaption><\/figure>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Pour utiliser un module particulier (option -M) :<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Notons que certains modules n\u00e9cessitent des param\u00e8tres pouvant \u00eatre consult\u00e9s avec \u00ab&nbsp;<code>--options<\/code>&nbsp;\u00bb et d\u00e9finies comme ceci \u00ab&nbsp;<code>-o&nbsp;PARAM1=VALUE PARAM2=VALUE<\/code> \u00bb.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc wmi -M rdp \u2013options<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"281\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/description-of-wmi-rdp-module-options-1024x281.png\" alt=\"Description des options du module rdp de WMI\" class=\"wp-image-13823\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/description-of-wmi-rdp-module-options-1024x281.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/description-of-wmi-rdp-module-options-300x82.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/description-of-wmi-rdp-module-options-1536x422.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Description des options du module rdp de WMI<\/figcaption><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-techniques-daudit-en-boite-noire-avec-netexec\">Techniques d\u2019audit en boite noire avec NetExec<\/h2>\n\n\n\n<p>Dans cette partie, nous illustrons comment utiliser NetExec dans un contexte d\u2019<a href=\"https:\/\/www.vaadata.com\/blog\/fr\/test-dintrusion-interne-objectifs-methodologie-tests-en-boite-noire-et-grise\/#aioseo-tests-dintrusion-interne-en-boite-noire-scenario-dune-attaque-sans-compte\" target=\"_blank\" rel=\"noopener\" title=\"\">audit r\u00e9seau en bo\u00eete noire<\/a>. Ce type d\u2019audit simule la situation d\u2019un attaquant ne disposant d\u2019aucun compte valide sur le r\u00e9seau cible.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-bb31895d905e2cf839623d059e5ac08a\" id=\"aioseo-analyse-du-reseau-et-des-services-ouverts\" style=\"color:#c0b800\">Analyse du r\u00e9seau et des services ouverts<\/h3>\n\n\n\n<p>Une premi\u00e8re utilisation de NetExec consiste \u00e0 identifier les machines et services actifs sur un r\u00e9seau. <\/p>\n\n\n\n<p>Par exemple, pour d\u00e9tecter toutes les machines exposant le port SMB sur un r\u00e9seau local :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc smb &lt;plage ip r\u00e9seau local&gt;<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"230\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-nxc-smb-IP-MASK-command-1024x230.png\" alt=\"R\u00e9sultat de la commande nxc smb IP\/MASK\" class=\"wp-image-13827\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-nxc-smb-IP-MASK-command-1024x230.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-nxc-smb-IP-MASK-command-300x67.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-nxc-smb-IP-MASK-command-1536x345.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">R\u00e9sultat de la commande nxc smb IP\/MASK<\/figcaption><\/figure>\n\n\n\n<p>Le service SMB est particuli\u00e8rement int\u00e9ressant, car il est activ\u00e9 par d\u00e9faut sur les machines Windows. En une seule commande, il est possible d\u2019obtenir :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>le nom des machines,<\/li>\n\n\n\n<li>leur version de syst\u00e8me d\u2019exploitation,<\/li>\n\n\n\n<li>le domaine auquel elles appartiennent.<\/li>\n<\/ul>\n\n\n\n<p>Sans disposer de compte, l\u2019auditeur obtient ainsi une premi\u00e8re cartographie du r\u00e9seau.<\/p>\n\n\n\n<p>Cette \u00e9tape pourrait \u00e9galement \u00eatre r\u00e9alis\u00e9e avec un outil comme <a href=\"https:\/\/www.vaadata.com\/blog\/fr\/nmap-loutil-pour-cartographier-et-evaluer-la-securite-dun-reseau\/\" target=\"_blank\" rel=\"noopener\" title=\"\">Nmap<\/a>, mais la simplicit\u00e9 d\u2019utilisation, la rapidit\u00e9 d\u2019ex\u00e9cution et la lisibilit\u00e9 des r\u00e9sultats font de NetExec une option plus efficace. Le m\u00eame principe peut d\u2019ailleurs \u00eatre appliqu\u00e9 \u00e0 d\u2019autres protocoles.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-ccc162c43156bea4e6d5325e59b693db\" id=\"aioseo-password-spraying\" style=\"color:#c0b800\">Password Spraying via NetExec<\/h3>\n\n\n\n<p>Le Password Spraying est l\u2019une des techniques phares de NetExec. Contrairement au <a href=\"https:\/\/www.vaadata.com\/blog\/fr\/attaques-brute-force-principes-et-bonnes-pratiques-securite\/\" target=\"_blank\" rel=\"noopener\" title=\"\">brute force<\/a> classique, qui teste un grand nombre de mots de passe sur un seul compte (et entra\u00eene souvent un verrouillage), le Password Spraying consiste \u00e0 tester quelques mots de passe courants sur de nombreux comptes.<\/p>\n\n\n\n<p>Cette approche permet d\u2019\u00e9viter le blocage rapide des comptes et s\u2019av\u00e8re particuli\u00e8rement efficace dans un contexte d\u2019entreprise.<\/p>\n\n\n\n<p>Avec cette technique, l\u2019objectif pour l\u2019auditeur est de confirmer rapidement la validit\u00e9 de certains identifiants puis de les r\u00e9utiliser sur le r\u00e9seau. <\/p>\n\n\n\n<p>Ce type d\u2019attaque est facilement r\u00e9alisable depuis&nbsp;NetExec gr\u00e2ce \u00e0 la flexibilit\u00e9 de ses options \u00ab&nbsp;<code>--username\/-u<\/code>&nbsp;\u00bb et \u00ab&nbsp;<code>--password\/-p<\/code>&nbsp;\u00bb. En effet, la sp\u00e9cification de plusieurs identifiants potentiels est possible. Soit en pointant vers un fichier texte contenant un candidat par ligne, soit en s\u00e9parant chaque candidat par un espace directement dans la ligne de commande.<\/p>\n\n\n\n<p>Voici un exemple d\u2019attaque par password spraying : <\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc smb 192.168.56.11 -u brute_users.txt -p 'hodor' 'sexywolfy' --continue-on-success<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"390\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/password-spraying-netexec-command-result-1024x390.png\" alt=\"R\u00e9sultat de l'attaque par password spraying\" class=\"wp-image-13829\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/password-spraying-netexec-command-result-1024x390.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/password-spraying-netexec-command-result-300x114.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/password-spraying-netexec-command-result-1536x584.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">R\u00e9sultat de la commande ci-dessus<\/figcaption><\/figure>\n\n\n\n<p>Ici, NetExec a identifi\u00e9 deux comptes valides. Cette technique constitue souvent un point d\u2019entr\u00e9e lors d\u2019un audit en bo\u00eete noire, car elle permet de trouver rapidement un premier jeu d\u2019identifiants valides, r\u00e9utilisables par la suite.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-90130f0ddc3aebd06ae5f0946a5ad61f\" id=\"aioseo-acces-anonymes\" style=\"color:#c0b800\">Identification d&rsquo;acc\u00e8s anonymes<\/h3>\n\n\n\n<p>Il arrive parfois que certains protocoles soient d\u00e9ploy\u00e9s dans des configurations vuln\u00e9rables autorisant des connexions sans authentification. <\/p>\n\n\n\n<p>NetExec facilite la d\u00e9tection de ces acc\u00e8s anonymes ou nuls :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc &lt;protocole&gt; &lt;cibles&gt; -u \u2018\u2019 -p \u2018\u2019 <strong># test de connexion nulle<\/strong>\nnxc &lt;protocole&gt; &lt;cibles&gt; -u \u2018anonymous\u2019 -p \u2018\u2019 <strong># test de connexion anonyme<\/strong><\/code><\/pre>\n\n\n\n<p>Par exemple, pour rechercher des serveurs FTP acceptant une connexion anonyme et lister les fichiers accessibles :<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc ftp 172.16.1.0\/24 -u \u2018anonymous\u2019 -p \u2018\u2019 --ls<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"374\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-output-when-an-anonymous-ftp-connection-is-detected-1024x374.png\" alt=\"D\u00e9tection d\u2019une connexion FTP anonyme et affichage des fichiers expos\u00e9s\" class=\"wp-image-13831\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-output-when-an-anonymous-ftp-connection-is-detected-1024x374.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-output-when-an-anonymous-ftp-connection-is-detected-300x109.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/netexec-output-when-an-anonymous-ftp-connection-is-detected-1536x560.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Sortie netexec lorsqu&rsquo;une connexion FTP anonyme est d\u00e9tect\u00e9e<\/figcaption><\/figure>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-4c66c8e9508ad4f60b1f901c249f770f\" id=\"aioseo-attaque-kerbrute-userenum\" style=\"color:#c0b800\">Attaque Kerbrute Userenum<\/h3>\n\n\n\n<p>Enfin, NetExec peut reproduire l\u2019attaque Kerbrute Userenum, qui consiste \u00e0 d\u00e9duire l\u2019existence de comptes utilisateurs \u00e0 partir des r\u00e9ponses du KDC (Key Distribution Center) lors de requ\u00eates Kerberos. Pour ce faire, il faut interagir avec Kerberos (option `<code>-k<\/code>`).<\/p>\n\n\n\n<p>L\u2019attaque consiste alors \u00e0 initier une authentification Kerberos avec une liste de noms d\u2019utilisateur potentiels. En fonction de la r\u00e9ponse renvoy\u00e9e, il est possible de d\u00e9terminer si un utilisateur existe ou non.<\/p>\n\n\n\n<p>Ainsi, l\u2019existence d\u2019un compte utilisateur sur le domaine peut \u00eatre confirm\u00e9e via la commande suivante&nbsp;:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc ldap \"$DC\" -u brute_users.txt -p '' -k<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"293\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-kerbrute-attack-via-netexec-1024x293.png\" alt=\"attaque kerbrute via netexec\" class=\"wp-image-13833\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-kerbrute-attack-via-netexec-1024x293.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-kerbrute-attack-via-netexec-300x86.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-kerbrute-attack-via-netexec-1536x440.png 1536w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">r\u00e9sultat de l&rsquo;attaque kerbrute via netexec<\/figcaption><\/figure>\n\n\n\n<p>Dans ce cas, un message d\u2019erreur <code>KDC_ERR_PREAUTH_FAILED<\/code> indique que l\u2019utilisateur existe bien sur le domaine. Cette technique permet donc de construire une liste d\u2019utilisateurs valides, ce qui am\u00e9liore consid\u00e9rablement l\u2019efficacit\u00e9 d\u2019un Password Spraying ult\u00e9rieur.<\/p>\n\n\n\n<p><strong>Note<\/strong>&nbsp;: contrairement aux scripts <a href=\"https:\/\/github.com\/ropnop\/kerbrute\" target=\"_blank\" rel=\"noopener\" title=\"\">kerbrute en go<\/a> et <a href=\"https:\/\/github.com\/TarlogicSecurity\/kerbrute\" target=\"_blank\" rel=\"noopener\" title=\"\">kerbrute.py<\/a> qui interrompent l\u2019authentification avant l\u2019\u00e9tape du mot de passe pour plus de discr\u00e9tion, NetExec effectue une tentative compl\u00e8te d\u2019authentification.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-techniques-daudit-en-boite-grise\">Techniques d\u2019audit en boite grise<\/h2>\n\n\n\n<p>Une fois un compte valide d\u00e9couvert sur le domaine, les possibilit\u00e9s offertes par NetExec s\u2019\u00e9largissent consid\u00e9rablement. Cette \u00e9tape marque un tournant dans l\u2019audit, car elle permet de d\u00e9passer la simple reconnaissance pour exploiter r\u00e9ellement les acc\u00e8s disponibles.<\/p>\n\n\n\n<p>Avec un compte, l\u2019auditeur peut :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>interroger l\u2019annuaire LDAP,<\/li>\n\n\n\n<li>acc\u00e9der \u00e0 des partages r\u00e9seau,<\/li>\n\n\n\n<li>collecter des informations sensibles,<\/li>\n\n\n\n<li>ex\u00e9cuter des commandes \u00e0 distance.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-76223dfbbc4e08758e2e64f1c2f16426\" id=\"aioseo-collecte-dinformations-sur-lannuaire-ldap\" style=\"color:#c0b800\">Collecte d\u2019informations sur l\u2019annuaire LDAP<\/h3>\n\n\n\n<p>Le protocole LDAP constitue une porte d\u2019entr\u00e9e pr\u00e9cieuse : il permet d\u2019obtenir de nombreuses informations sans n\u00e9cessiter de privil\u00e8ges particuliers.<\/p>\n\n\n\n<p>Parmi les options disponibles dans NetExec :<\/p>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table><thead><tr><th><strong>Informations<\/strong><\/th><th><strong>Option(s) NetExec<\/strong><\/th><th><strong>Description<\/strong><\/th><\/tr><\/thead><tbody><tr><td><strong>Utilisateurs<\/strong><strong><\/strong><\/td><td><code>--users<\/code>, <code>--active-users<\/code>, <code>--admin-count<\/code>, <code>--password-not-required<\/code><\/td><td>\u00c9num\u00e8re tous les utilisateurs du domaine, seulement les actifs, les administrateurs, ou ceux sans mot de passe requis.<\/td><\/tr><tr><td><strong>Groupes<\/strong><\/td><td><br><code>--groups<\/code>, <code>--groups &lt;group&gt;<\/code><\/td><td>Liste les groupes et, le cas \u00e9ch\u00e9ant, leurs membres.<\/td><\/tr><tr><td><strong>Machines<\/strong><strong><\/strong><\/td><td><code>--computers<\/code>, <code>-M maq<\/code><\/td><td>\u00c9num\u00e8re toutes les machines du domaine.<\/td><\/tr><tr><td><strong>Domaines<\/strong><\/td><td><br><code>--get-sid<\/code>, <code>--dc-list<\/code><\/td><td>R\u00e9cup\u00e8re le SID du domaine, les contr\u00f4leurs de domaine et leurs relations de confiance.<\/td><\/tr><tr><td><strong>Politique de mot de passe<\/strong><strong><\/strong><\/td><td><code>--pso<\/code><\/td><td>Affiche la politique de mot de passe appliqu\u00e9e.<\/td><\/tr><tr><td><strong>D\u00e9l\u00e9gations Kerberos<\/strong><\/td><td><code>--find-delegation<\/code>, <code>--trusted-for-delegation<\/code><\/td><td>Liste les d\u00e9l\u00e9gations configur\u00e9es et les comptes b\u00e9n\u00e9ficiant d\u2019une d\u00e9l\u00e9gation sans contrainte.<\/td><\/tr><tr><td><strong>Comptes vuln\u00e9rables \u00e0 une attaque Kerberos.<\/strong><strong><\/strong><\/td><td><code>--asreproast<\/code>, <code>--kerberoasting<\/code><\/td><td>Identifie les comptes expos\u00e9s aux attaques ASREProast et Kerberoasting.<\/td><\/tr><tr><td><strong>Bloodhound<\/strong><\/td><td><br><code>--bloodhound -c COLLECTION<\/code><\/td><td>G\u00e9n\u00e8re un fichier pour l\u2019outil BloodHound, utile \u00e0 la cartographie AD.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>D\u2019autres informations pertinentes peuvent \u00eatre retrouv\u00e9es via des options ou modules list\u00e9s dans la <a href=\"https:\/\/www.netexec.wiki\/\" target=\"_blank\" rel=\"noopener\" title=\"\">documentation de NetExec<\/a>.<\/p>\n\n\n\n<p>Notez qu&rsquo;il est possible de sp\u00e9cifier manuellement une requ\u00eate LDAP pour cibler une information. Pour ce faire, les options <code>--querry<\/code> et <code>--base-dn<\/code> peuvent \u00eatre utilis\u00e9s.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc ldap 192.168.56.11 -u hodor -p 'hodor' --query \"(name=jon.snow)\" \"msDS-AllowedToDelegateTo cn\"<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"243\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/command-result-1024x243.png\" alt=\"\" class=\"wp-image-13836\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/command-result-1024x243.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/command-result-300x71.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/command-result.png 1165w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>L\u2019objectif principal de ces interactions est la cartographie du domaine, indispensable pour identifier des chemins d\u2019exploitation menant \u00e0 du mouvement lat\u00e9ral ou \u00e0 une \u00e9l\u00e9vation de privil\u00e8ges.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-39330cc780365a494a97993c58d35e49\" id=\"aioseo-audit-des-partages-de-fichiers\" style=\"color:#c0b800\">Audit des partages de fichiers<\/h3>\n\n\n\n<p>NetExec supporte plusieurs protocoles de partage de fichiers : SMB, NFS et FTP.<\/p>\n\n\n\n<p>L\u2019audit des partages de fichiers vise \u00e0 identifier les ressources accessibles sur les serveurs du domaine et \u00e0 \u00e9valuer le niveau de sensibilit\u00e9 des donn\u00e9es expos\u00e9es. L\u2019id\u00e9e ici est donc de d\u00e9tecter d\u2019\u00e9ventuelles failles li\u00e9es \u00e0 une mauvaise gestion des permissions, telles que des r\u00e9pertoires ouverts en lecture ou en \u00e9criture \u00e0 de larges groupes d\u2019utilisateurs, ce qui peut entra\u00eener des fuites d\u2019informations ou servir de vecteur d\u2019escalade de privil\u00e8ges.<\/p>\n\n\n\n<p>Si NetExec propose les options de base pour t\u00e9l\u00e9charger, uploader ou&nbsp;lister des fichiers&nbsp;pour chacun de ces protocoles (<code>--get-file<\/code>, <code>--put-file<\/code>, <code>--dir<\/code>, <code>--ls<\/code>, etc.), sa capacit\u00e9 \u00e0 lister les partages et les fichiers pr\u00e9sents sur plusieurs machines simultan\u00e9ment reste un point fort qui le diff\u00e9rencie d\u2019autres outils.<\/p>\n\n\n\n<p>Par exemple la commande ci-dessous permet d\u2019\u00e9num\u00e9rer tous les partages de fichiers SMB accessibles en lecture \u00e0 l\u2019utilisateur sur le r\u00e9seau.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc smb 192.168.56.0\/24 -u robb.stark -p sexywolfy -d $DOMAIN --shares read<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"703\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/listing-file-shares-with-netexec-1024x703.png\" alt=\"\u00c9num\u00e9ration des partages de fichier accessible en lecture pour l'utilisateur\" class=\"wp-image-13838\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/listing-file-shares-with-netexec-1024x703.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/listing-file-shares-with-netexec-300x206.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/listing-file-shares-with-netexec.png 1158w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">\u00c9num\u00e9ration des partages de fichier accessible en lecture pour l&rsquo;utilisateur<\/figcaption><\/figure>\n\n\n\n<p>Des secrets ou informations techniques d\u00e9couverts dans ces partages peuvent conduire \u00e0 une \u00e9l\u00e9vation de privil\u00e8ges ou \u00e0 un mouvement lat\u00e9ral.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-966163c1f26dc936aac229930f8d2d93\" id=\"aioseo-audit-des-services-mssql-avec-netexec\" style=\"color:#c0b800\">Audit des services MSSQL avec NetExec<\/h3>\n\n\n\n<p>NetExec permet \u00e9galement d\u2019interagir avec Microsoft SQL Server (MSSQL).<\/p>\n\n\n\n<p>Apr\u00e8s l\u2019obtention d\u2019un compte valide, NetExec permet de tirer parti du protocole MSSQL pour \u00e9valuer et exploiter les services de bases de donn\u00e9es pr\u00e9sents dans le domaine. <\/p>\n\n\n\n<p>Une premi\u00e8re action consiste \u00e0 tester l\u2019authentification afin d\u2019identifier les instances accessibles avec les identifiants d\u00e9couverts.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc mssql &lt;cible&gt; -u &lt;user&gt; -p &lt;password&gt;<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"89\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/identification-of-a-valid-account-in-the-database-1024x89.png\" alt=\"\" class=\"wp-image-13840\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/identification-of-a-valid-account-in-the-database-1024x89.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/identification-of-a-valid-account-in-the-database-300x26.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/identification-of-a-valid-account-in-the-database.png 1165w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Exemple d&rsquo;identification d&rsquo;un compte valide sur la base de donn\u00e9es<\/figcaption><\/figure>\n\n\n\n<p>Une fois connect\u00e9, il est possible d\u2019\u00e9num\u00e9rer les bases de donn\u00e9es disponibles, de collecter des informations sur la configuration du serveur et de v\u00e9rifier le niveau de privil\u00e8ges associ\u00e9 au compte utilis\u00e9. <\/p>\n\n\n\n<p>La mani\u00e8re la plus simple d\u2019interagir avec la base de donn\u00e9es consiste \u00e0 utiliser l\u2019option \u00ab&nbsp;<code>-query\/-q<\/code>&nbsp;\u00bb qui permet l\u2019ex\u00e9cution arbitraire d\u2019une requ\u00eate SQL sur le serveur.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc mssql 192.168.56.22 -u hodor -p hodor --query \\\n'SELECT name FROM master.dbo.sysdatabases;'<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"173\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-command-used-to-list-databases-1024x173.png\" alt=\"\" class=\"wp-image-13842\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-command-used-to-list-databases-1024x173.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-command-used-to-list-databases-300x51.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-command-used-to-list-databases.png 1164w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">R\u00e9sultat de la commande permettant de lister les bases de donn\u00e9es<\/figcaption><\/figure>\n\n\n\n<p>La limite des informations consultables et modifiables va d\u00e9pendre des privil\u00e8ges de l\u2019utilisateur.<\/p>\n\n\n\n<p>Lorsque celui-ci dispose de droits \u00e9tendus, NetExec offre la possibilit\u00e9 d\u2019activer des fonctionnalit\u00e9s comme <code>xp_cmdshell<\/code> pour lancer des commandes syst\u00e8me \u00e0 distance, ouvrant ainsi la voie \u00e0 une <a href=\"https:\/\/www.vaadata.com\/blog\/fr\/rce-remote-code-execution-exploitations-et-bonnes-pratiques-securite\/\" target=\"_blank\" rel=\"noopener\" title=\"\">ex\u00e9cution de code<\/a> sur le serveur h\u00f4te.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc mssql 192.168.56.22 -u jon.snow -p iknownothing -M  enable_cmdshell -o ACTION=enable<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"86\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/activation-of-cmdshell-via-netexec-module-1024x86.png\" alt=\"\" class=\"wp-image-13844\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/activation-of-cmdshell-via-netexec-module-1024x86.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/activation-of-cmdshell-via-netexec-module-300x25.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/activation-of-cmdshell-via-netexec-module.png 1164w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Activation de cmdshell via module netexec<\/figcaption><\/figure>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc mssql 192.168.56.22 -u jon.snow -p iknownothing -x whoami<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"119\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/effective-remote-command-execution-via-netexec-on-mssql-after-cmd_shell-activation-1024x119.png\" alt=\"\" class=\"wp-image-13846\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/effective-remote-command-execution-via-netexec-on-mssql-after-cmd_shell-activation-1024x119.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/effective-remote-command-execution-via-netexec-on-mssql-after-cmd_shell-activation-300x35.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/effective-remote-command-execution-via-netexec-on-mssql-after-cmd_shell-activation.png 1159w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Ex\u00e9cution effective de commande \u00e0 distance via netexec sur mssql apr\u00e8s activation de cmd_shell<\/figcaption><\/figure>\n\n\n\n<p>L\u2019audit MSSQL peut donc r\u00e9v\u00e9ler des opportunit\u00e9s de compromission directe ou de d\u00e9placement lat\u00e9ral, notamment gr\u00e2ce aux modules sp\u00e9cialis\u00e9s comme <code>enum_links<\/code> ou <code>exec_on_link<\/code>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading has-text-color has-link-color wp-elements-3bf54c0976353cce723811a3496a1286\" id=\"aioseo-execution-de-commandes-et-post-exploitation\" style=\"color:#c0b800\">Ex\u00e9cution de commandes et post-exploitation<\/h3>\n\n\n\n<p>D\u00e8s qu\u2019un auditeur obtient un compte disposant de privil\u00e8ges suffisants sur une machine, NetExec permet d\u2019ex\u00e9cuter des commandes \u00e0 distance via plusieurs protocoles pris en charge.<\/p>\n\n\n\n<p>Une fois ces acc\u00e8s consolid\u00e9s, l\u2019outil offre \u00e9galement de nombreuses fonctionnalit\u00e9s de post-exploitation, notamment l\u2019extraction de secrets (mots de passe, cl\u00e9s, identifiants). Ces informations peuvent ensuite \u00eatre r\u00e9utilis\u00e9es pour \u00e9tendre l\u2019acc\u00e8s \u00e0 d\u2019autres machines ou services du r\u00e9seau.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"aioseo-acces-aux-bureaux-a-distance-via-rdp-et-vnc\">Acc\u00e8s aux bureaux \u00e0 distance via RDP et VNC<\/h4>\n\n\n\n<p>Les protocoles RDP et VNC permettent un acc\u00e8s graphique \u00e0 distance au bureau d\u2019une machine. <\/p>\n\n\n\n<p>Avec un compte valide, NetExec peut tester et exploiter ces services afin de confirmer la possibilit\u00e9 d\u2019une connexion interactive. Dans le cas de RDP, une authentification r\u00e9ussie donne \u00e0 l\u2019auditeur un contr\u00f4le de la session utilisateur sur la machine cibl\u00e9e.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc rdp &lt;cible(s)&gt; -u &lt;user&gt; -p &lt;password&gt;<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"85\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-command-1024x85.png\" alt=\"\" class=\"wp-image-13848\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-command-1024x85.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-command-300x25.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-the-command.png 1162w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">R\u00e9sultat de la commande ci-dessus<\/figcaption><\/figure>\n\n\n\n<p>De la m\u00eame mani\u00e8re, l\u2019option VNC permet de tester une connexion vers des serveurs accessibles sur le r\u00e9seau, offrant ainsi une prise en main visuelle du poste ou du serveur cibl\u00e9.<\/p>\n\n\n\n<p>Ces tests sont particuli\u00e8rement utiles pour rep\u00e9rer des postes administratifs ou des serveurs critiques expos\u00e9s via un bureau distant. Lorsqu\u2019ils aboutissent, ils constituent un vecteur efficace de mouvement lat\u00e9ral ou d\u2019\u00e9l\u00e9vation de privil\u00e8ges, surtout si l\u2019utilisateur compromis dispose de droits \u00e9lev\u00e9s.<\/p>\n\n\n\n<p>La connexion graphique elle-m\u00eame n\u00e9cessite toutefois des outils sp\u00e9cialis\u00e9s, tels que <a href=\"https:\/\/man.freebsd.org\/cgi\/man.cgi?query=xfreerdp\" target=\"_blank\" rel=\"noopener\" title=\"\">xfreerdp<\/a>. Dans la version 1.4.0 de NetExec, l\u2019interaction avec RDP et VNC reste limit\u00e9e aux tests d\u2019authentification et aux captures d\u2019\u00e9cran (<code>--screenshot<\/code>).<\/p>\n\n\n\n<p><strong>Note<\/strong>&nbsp;: une \u00ab&nbsp;<a href=\"https:\/\/github.com\/Pennyw0rth\/NetExec\/pull\/676\" target=\"_blank\" rel=\"noopener\" title=\"\">PullRequest<\/a>&nbsp;\u00bb effectu\u00e9e durant l\u2019\u00e9t\u00e9 2025 a introduit la possibilit\u00e9 d\u2019ex\u00e9cuter des commandes \u00e0 distance via RDP, \u00e9largissant encore le champ des actions r\u00e9alisables.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"aioseo-execution-de-code-a-distance\">Ex\u00e9cution de code \u00e0 distance avec NetExec<\/h4>\n\n\n\n<p>L\u2019ex\u00e9cution de commandes permet d\u2019aller au-del\u00e0 de la simple validation d\u2019acc\u00e8s pour mesurer concr\u00e8tement l\u2019impact d\u2019une compromission. Elle peut servir \u00e0 d\u00e9ployer des binaires, extraire des donn\u00e9es sensibles locales, v\u00e9rifier les droits effectifs de l\u2019utilisateur ou encore pr\u00e9parer un mouvement lat\u00e9ral vers d\u2019autres syst\u00e8mes du domaine.<\/p>\n\n\n\n<p>Actuellement, NetExec prend en charge cette fonctionnalit\u00e9 sur les protocoles WINRM, SSH, MSSQL, WMI, SMB et, depuis l\u2019\u00e9t\u00e9 2025, RDP.<\/p>\n\n\n\n<p>En pratique, d\u00e8s qu\u2019une authentification r\u00e9ussie retourne la mention \u201c<code>Pwn3d!<\/code>\u201d ou \u201c<code>Admin<\/code>\u201d, il devient possible d\u2019ex\u00e9cuter une commande distante sur la machine cibl\u00e9e.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"55\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/authentication-pwn3d-1024x55.png\" alt=\"Pwn3d! dans le retour d'authentification de netexec\" class=\"wp-image-13852\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/authentication-pwn3d-1024x55.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/authentication-pwn3d-300x16.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/authentication-pwn3d.png 1159w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Illustration de la mention Pwn3d! dans le retour d&rsquo;authentification de netexec<\/figcaption><\/figure>\n\n\n\n<p>Alors l\u2019option <code>-x<\/code> ou <code>-X<\/code> peut \u00eatre utilis\u00e9e pour ex\u00e9cuter une commande distante sur le ou les serveurs cibles.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc rdp 192.168.56.11 -u 'jon.snow' -p 'iknownothing' -x \u2018whoami \/all\u2019<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"712\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-command-execution-via-the-rdp-protocol-1024x712.png\" alt=\"R\u00e9sultat d\u2019une ex\u00e9cution de commande via le protocole RDP\" class=\"wp-image-13854\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-command-execution-via-the-rdp-protocol-1024x712.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-command-execution-via-the-rdp-protocol-300x209.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/result-of-command-execution-via-the-rdp-protocol.png 1090w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">R\u00e9sultat d\u2019une ex\u00e9cution de commande via le protocole RDP<\/figcaption><\/figure>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"aioseo-post-exploitation-et-extraction-de-secrets\">Post-exploitation et extraction de secrets<\/h4>\n\n\n\n<p>Un atout majeur de NetExec r\u00e9side dans sa capacit\u00e9 \u00e0 extraire des secrets<strong> <\/strong>d\u2019une machine gr\u00e2ce \u00e0 de nombreuses options d\u00e9di\u00e9es. Cette \u00e9tape est cruciale, car ces informations permettent ensuite \u00e0 un attaquant de se d\u00e9placer lat\u00e9ralement au sein du r\u00e9seau.<\/p>\n\n\n\n<p>Le protocole SMB est particuli\u00e8rement riche en ce domaine : il propose un large \u00e9ventail d\u2019options et de modules d\u00e9di\u00e9s \u00e0 l\u2019extraction d\u2019identifiants et de donn\u00e9es sensibles. Le tableau ci-dessous en pr\u00e9sente les principales fonctionnalit\u00e9s.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><tbody><tr><td><strong>Options \/modules<\/strong><\/td><td><strong>Privill\u00e8ge requis<\/strong><\/td><td><strong>Description<\/strong><\/td><\/tr><tr><td><strong><code>--sam<\/code><\/strong><\/td><td>Administrateur machine<\/td><td>Extraction de la base SAM (hash NT des utilisateurs locaux).<\/td><\/tr><tr><td><strong><code>--lsa<\/code><\/strong><\/td><td>Administrateur machine<\/td><td>Extraction de secrets LSA (DPAPI_SYSTEM, hash NT machine, cl\u00e9s Kerberos, comptes de service, etc.).<\/td><\/tr><tr><td><strong><code>--ntds<\/code><\/strong><\/td><td>Administrateur du domaine<\/td><td>Extraction de la base NTDS (tous les comptes utilisateurs et machines du domaine).<\/td><\/tr><tr><td><strong><code>--dpapi<\/code><\/strong><\/td><td>Administrateur machine<\/td><td>D\u00e9chiffrement des secrets DPAPI (mots de passe stock\u00e9s par applis\/services).<\/td><\/tr><tr><td><code><strong>-M lsassy \/ handlekatz \/ nanodump \/ procdump<\/strong><\/code><\/td><td>Administrateur machine<\/td><td>Extraction d\u2019identifiants en m\u00e9moire (lsass.exe).<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Par exemple, voici comment extraire les secrets g\u00e9r\u00e9s par DPAPI sur une machine&nbsp;:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>nxc smb 192.168.56.11 -u robb.stark -p 'sexywolfy'  --dpapi<\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-large\"><img decoding=\"async\" width=\"1024\" height=\"239\" src=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/extracting-DPAPI-secrets-from-a-machine-1024x239.png\" alt=\"\" class=\"wp-image-13856\" srcset=\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/extracting-DPAPI-secrets-from-a-machine-1024x239.png 1024w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/extracting-DPAPI-secrets-from-a-machine-300x70.png 300w, https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2025\/09\/extracting-DPAPI-secrets-from-a-machine.png 1162w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><figcaption class=\"wp-element-caption\">Extraction des secrets DPAPI d&rsquo;une machine<\/figcaption><\/figure>\n\n\n\n<p>NetExec propose une multitude de modules suppl\u00e9mentaires (<code>eventlog_creds<\/code>, <code>iis<\/code>, <code>powershell_history<\/code>, <code>wifi<\/code>, <code>winscp<\/code>, etc.) qui permettent d\u2019extraire des identifiants ou secrets dans divers contextes.<\/p>\n\n\n\n<p>Le protocole LDAP permet quant \u00e0 lui d\u2019extraire des informations sensibles comme :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>les mots de passe locaux g\u00e9r\u00e9s par LAPS (Local Administrator Password Solution) via l&rsquo;option <code>-M LAPS<\/code><\/li>\n\n\n\n<li>les comptes de service manag\u00e9s gMSA (Group Managed Service Accounts) via <code>--gmsa<\/code>.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"aioseo-conclusion\">Conclusion<\/h2>\n\n\n\n<p>L\u2019outil NetExec s\u2019impose comme une solution incontournable pour l\u2019<a href=\"https:\/\/www.vaadata.com\/fr\/pentest-infrastructure-reseau\/\" target=\"_blank\" rel=\"noopener\" title=\"\">audit de r\u00e9seaux internes<\/a>, en particulier dans des environnements Active Directory. Sa force r\u00e9side dans sa capacit\u00e9 \u00e0 centraliser, au sein d\u2019un seul programme, des fonctionnalit\u00e9s qui n\u00e9cessiteraient habituellement plusieurs outils distincts.<\/p>\n\n\n\n<p>En bo\u00eete noire, NetExec permet rapidement d\u2019obtenir une premi\u00e8re cartographie du r\u00e9seau, d\u2019identifier des services expos\u00e9s et de tester des techniques efficaces comme le Password Spraying.<\/p>\n\n\n\n<p>En bo\u00eete grise, il d\u00e9ploie toute sa puissance : interrogation de l\u2019annuaire LDAP, exploration des partages de fichiers, interaction avec MSSQL, ex\u00e9cution de commandes \u00e0 distance, et surtout, post-exploitation par l\u2019extraction de secrets.<\/p>\n\n\n\n<p>Pour un auditeur, NetExec repr\u00e9sente donc un gain de temps et une meilleure lisibilit\u00e9 des r\u00e9sultats, tout en restant flexible et extensible gr\u00e2ce \u00e0 ses nombreux modules.<\/p>\n\n\n\n<p><strong>Auteur : Benoit PHILIPPE &#8211; Pentester @Vaadata<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-13805","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-technique"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/13805","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/comments?post=13805"}],"version-history":[{"count":40,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/13805\/revisions"}],"predecessor-version":[{"id":13972,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/posts\/13805\/revisions\/13972"}],"wp:attachment":[{"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/media?parent=13805"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/categories?post=13805"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.vaadata.com\/blog\/fr\/wp-json\/wp\/v2\/tags?post=13805"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}