PowerShell相关工具/资料收集


=Start=

缘由:

学习、整理需要

正文:

参考解答:

PowerSploit – A PowerShell Post-Exploitation Framework
https://github.com/PowerShellMafia/PowerSploit

Empire is a PowerShell and Python post-exploitation agent.
https://github.com/EmpireProject/Empire

Nishang – PowerShell for penetration testing and offensive security.
https://github.com/samratashok/nishang

A post-exploitation powershell tool for extracting juicy info from memory.
https://github.com/putterpanda/mimikittenz

My musings with PowerShell
https://github.com/FuzzySecurity/PowerShell-Suite

Inveigh is a Windows PowerShell LLMNR/mDNS/NBNS spoofer/man-in-the-middle tool
https://github.com/Kevin-Robertson/Inveigh

PowerShell script to quickly find missing software patches for local privilege escalation vulnerabilities.
https://github.com/rasta-mouse/Sherlock

netshell features all in version 2 powershell
https://github.com/besimorhino/powercat
https://github.com/secabstraction/PowerCat

PowerShell Pass The Hash Utils
https://github.com/Kevin-Robertson/Invoke-TheHash

Awesome tools to exploit Windows !
https://github.com/Hack-with-Github/Windows

A Powershell incident response framework
https://github.com/davehull/Kansa

A curated list of delightful PowerShell modules and resources
https://github.com/janikvonrotz/awesome-powershell

参考链接:

=END=

, ,

《“PowerShell相关工具/资料收集”》 有 27 条评论

  1. 渗透技巧——获得Powershell命令的历史记录
    https://paper.tuisec.win/detail/cf69450427eb895
    https://www.4hou.com/penetration/18164.html
    `
    我在最近的学习过程中,发现Powershell命令的历史记录有时会包含系统敏感信息,例如远程服务器的连接口令,于是我对Powershell的历史记录功能做了进一步研究,总结一些渗透测试中常用导出历史记录的方法,结合利用思路,给出防御建议。

    本文将要介绍以下内容:
    · 两种Powershell命令的历史记录
    · 导出Powershell命令历史记录的方法
    · 防御建议

    记录Powershell命令的历史记录有两种方式,可分别使用Get-History和Get-PSReadlineOption读取。

    如果使用高版本的Windows系统,如Win10,默认Powershell版本为5.0,会记录Powershell的命令,建议定时进行清除,位置:

    %appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
    清除命令的历史记录:

    Remove-Item (Get-PSReadlineOption).HistorySavePath
    对于低版本的Powershell,如果命令中包含敏感信息(如远程连接的口令),需要及时清除,命令为:Clear-History

    对于cmd.exe,如果命令中包含敏感信息(如远程连接的口令),需要及时清除,命令为:doskey /reinstall
    `

  2. 如何获得PowerShell命令的历史记录
    https://www.freebuf.com/articles/network/210932.html
    `
    1.两种PowerShell的命令的历史记录
    Get-History | Format-List -Property *
    Get-Content (Get-PSReadlineOption).HistorySavePath

    获得了Windows系统的访问权限,首先查看Powershell的版本,如果是第5版,通过Get-History读取文件%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt获得历史记录;如果系统是Powershell v3或Powershell v4,可通过命令行安装PSReadLine,这样就能记录后续系统所有的Powershell命令

    2.导出PowerShell的命令历史记录的方法

    3.防御建议
    如果使用高版本的Windows系统,如Win10,默认PowerShell的版本为5.0,会记录PowerShell的的命令,建议定时进行清除,位置:%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

    清除命令的历史记录:
    Remove-Item (Get-PSReadlineOption).HistorySavePath

    对于低版本的Powershell的,如果命令中包含敏感信息(如远程连接的口令),需要及时清除,命令为:Clear-History

    对于cmd.exe的,如果命令中包含敏感信息(如远程连接的口令),需要及时清除,命令为:doskey /reinstall
    `
    https://docs.microsoft.com/en-us/powershell/module/Microsoft.PowerShell.Core/Get-History?view=powershell-3.0
    https://docs.microsoft.com/en-us/powershell/module/psreadline/?view=powershell-5.1

    https://github.com/3gstudent/Homework-of-C-Language/blob/master/GetProcessCommandLine.cpp

回复 a-z 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注