《 “PowerShell相关工具/资料收集” 》 有 27 条评论

1. Babadook — PowerShell 编写的一个无连接弹性后门
   https://github.com/jseidl/Babadook

   回复

2. Piper – 基于 PowerShell 编写的利用命名管道做端口转发的工具
   https://github.com/p3nt4/Piper

   回复

3. PowerShdll – 实现 powershell 功能的 dll 文件，以 rundll32 运行，可绕过 powershell.exe 的运行限制
   https://github.com/p3nt4/PowerShdll

   基于 WMI 实现的读文件 PowerShell 代码片段
   https://gist.github.com/mattifestation/03079a38f23e0c94c8cd39779f88adf6

   回复

4. Powershell 秘籍
   http://ramblingcookiemonster.github.io/images/Cheat-Sheets/powershell-cheat-sheet.pdf

   回复

5. 基于 Windows 事件日志定位和解码恶意 PowerShell 脚本
   https://az4n6.blogspot.com/2017/10/finding-and-decoding-malicious.html

   回复

6. Invoke-SocksProxy – 使用 PowerShell 建立 Socks5 代理服务器
   https://github.com/p3nt4/Invoke-SocksProxy

   回复

7. JAWS – Windows 渗透测试过程中提权之前用于收集系统信息的脚本，基于 PowerShell 编写
   https://github.com/411Hall/JAWS

   回复

8. PowerShell 脚本收集
   https://github.com/Arno0x/PowerShellScripts

   mimiDbg – 从内存中检索密码的 PowerShell 脚本
   https://github.com/giMini/mimiDbg

   回复

9. Invoke-PSImage – 在 PNG 图片中藏一个 PowerShell 脚本
   https://github.com/peewpw/Invoke-PSImage

   回复

10. 远程调用 Mimikatz 的 PowerShell 脚本
    https://github.com/xorrior/RandomPS-Scripts/blob/master/Invoke-RemoteMimikatz.ps1

    回复

11. ADRecon – 用于收集有关 Active Directory信息的工具，并生成 AD 环境当前状态的整体报告
    https://github.com/sense-of-security/adrecon

    回复

12. Grouper – PowerShell 脚本，用于查找活动目录组策略中易受攻击的配置
    https://github.com/l0ss/Grouper

    回复

13. how-to-learn-powershell(内有部分资源列表)
    http://www.jaapbrasser.com/how-to-learn-powershell/

    http://www.amazon.com/Windows-PowerShell-Best-Practices-Wilson/dp/0735666490
    http://www.amazon.com/Windows-PowerShell-Action-Second-Edition/dp/1935182137
    http://www.hofferle.com/list-of-free-powershell-ebooks/
    http://www.manning.com/jones3/

    回复

14. PESecurity – 检测程序是否开启 ASLR, DEP, SafeSEH 等多种防御的 PowerShell 脚本
    https://github.com/NetSPI/PESecurity

    回复

15. Windows PowerShell 日志收集分析指南
    https://static1.squarespace.com/static/552092d5e4b0661088167e5c/t/59c1814829f18782e24f1fe2/1505853768977/Windows

    回复

16. DSCompromised：利用 Windows DSC 进行横向渗透的利用脚本
    https://github.com/matthastings/DSCompromised

    Web 应用渗透测试指南
    https://jdow.io/blog/2018/03/18/web-application-penetration-testing-methodology/

    回复

17. PowerGRR – GRR 事件响应框架的 PowerShell 模块
    https://github.com/swisscom/PowerGRR/wiki/Use-registry-keys-from-Sigma-rules-as-input-for-PowerGRR-registry-flows

    回复

18. credgrap_ie_edge – 从 Internet Explorer 和 Edge 中提取存储凭据的工具（PowerShell脚本）
    https://github.com/HanseSecure/credgrap_ie_edge

    回复

19. Automated-AD-Setup – 自动化搭建域环境并配置加固的 PowerShell 脚本
    https://github.com/OneLogicalMyth/Automated-AD-Setup

    回复

20. 查询 MITRE ATT&CK 数据库的 PowerShell 脚本发布
    https://github.com/SadProcessor/SomeStuff/blob/master/PoSh_ATTCK.ps1

    回复

21. 用于禁用 Active Directory 中的非活动帐户的 PowerShell 脚本
    https://blogs.technet.microsoft.com/bahramr/2008/01/25/powershell-script-to-disable-inactive-accounts-in-active-directory/

    回复

22. Misc-Powershell-Scripts – PowerShell 渗透测试脚本收集
    https://github.com/rvrsh3ll/Misc-Powershell-Scripts

    回复

23. Powershell-SSHTools – PowerShell 下的 SSH 工具集合
    https://github.com/fridgehead/Powershell-SSHTools

    回复

24. PowerShell Suite – 渗透测试常用的 PowerShell 脚本收集
    https://github.com/FuzzySecurity/PowerShell-Suite

    Invisi-Shell – 绕过所有安全防护隐藏 PowerShell
    https://github.com/OmerYa/Invisi-Shell

    回复

25. 渗透技巧——获得Powershell命令的历史记录
    https://paper.tuisec.win/detail/cf69450427eb895
    https://www.4hou.com/penetration/18164.html
    `
    我在最近的学习过程中，发现Powershell命令的历史记录有时会包含系统敏感信息，例如远程服务器的连接口令，于是我对Powershell的历史记录功能做了进一步研究，总结一些渗透测试中常用导出历史记录的方法，结合利用思路，给出防御建议。

    本文将要介绍以下内容：
    · 两种Powershell命令的历史记录
    · 导出Powershell命令历史记录的方法
    · 防御建议

    记录Powershell命令的历史记录有两种方式，可分别使用Get-History和Get-PSReadlineOption读取。

    如果使用高版本的Windows系统，如Win10，默认Powershell版本为5.0，会记录Powershell的命令，建议定时进行清除，位置：

    %appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
    清除命令的历史记录：

    Remove-Item (Get-PSReadlineOption).HistorySavePath
    对于低版本的Powershell，如果命令中包含敏感信息(如远程连接的口令)，需要及时清除，命令为：Clear-History

    对于cmd.exe，如果命令中包含敏感信息(如远程连接的口令)，需要及时清除，命令为：doskey /reinstall
    `

    回复

26. 如何获得PowerShell命令的历史记录
    https://www.freebuf.com/articles/network/210932.html
    `
    1.两种PowerShell的命令的历史记录
    Get-History | Format-List -Property *
    Get-Content (Get-PSReadlineOption).HistorySavePath

    获得了Windows系统的访问权限，首先查看Powershell的版本，如果是第5版，通过Get-History读取文件%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt获得历史记录；如果系统是Powershell v3或Powershell v4，可通过命令行安装PSReadLine，这样就能记录后续系统所有的Powershell命令

    2.导出PowerShell的命令历史记录的方法

    3.防御建议
    如果使用高版本的Windows系统，如Win10，默认PowerShell的版本为5.0，会记录PowerShell的的命令，建议定时进行清除，位置：%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

    清除命令的历史记录：
    Remove-Item (Get-PSReadlineOption).HistorySavePath

    对于低版本的Powershell的，如果命令中包含敏感信息（如远程连接的口令），需要及时清除，命令为：Clear-History

    对于cmd.exe的，如果命令中包含敏感信息（如远程连接的口令），需要及时清除，命令为：doskey /reinstall
    `
    https://docs.microsoft.com/en-us/powershell/module/Microsoft.PowerShell.Core/Get-History?view=powershell-3.0
    https://docs.microsoft.com/en-us/powershell/module/psreadline/?view=powershell-5.1

    https://github.com/3gstudent/Homework-of-C-Language/blob/master/GetProcessCommandLine.cpp

    回复

27. Powershell攻击指南—-黑客后渗透之道
    https://github.com/rootclay/Powershell-Attack-Guide

    回复