Windows - Fase 3: Pós-exploração

Objetivo

Medir alcance real do comprometimento no ecossistema Windows/AD, validando movimento lateral com mínimo impacto operacional.

Checklist de Pós-exploração

1. Mapear trust path entre hosts e contas privilegiadas.
2. Validar caminhos de execução remota autorizados no escopo.
3. Identificar ativos críticos alcançáveis após pivô.
4. Consolidar evidência para contenção e reteste.

Comandos Operacionais

# Contexto de sessão e autenticação
query user
qwinsta
klist

# Alcance em rede/domínio
net view /domain
net view \\HOST-ALVO
nltest /dclist:DOMINIO.LOCAL

# Compartilhamentos e uso de credenciais
net share
net use

# Linha do tempo
auditpol /get /category:*
wevtutil qe Security /c:20 /f:text

Validação e Evidência

• Registrar origem, destino, identidade e técnica de pivô.
• Mapear impacto por ativo: acesso, execução remota, exposição de dados.
• Relacionar cada movimento ao controle defensivo que deveria bloquear/detectar.