PowerShell es muy potente porque permite ejecutar .Net y código dinámico desde otro sistema (también en Internet) y ejecutarlo en memoria sin tocar el disco. Eso hace que usarlo sea uno de los métodos preferidos para ganar y mantener el acceso a sistemas Windows. Sin embargo la versión 5 ya mejora la seguridad y cuando se ejecuta en Windows 10 las capacidades de ataque disminuyen.
No obstante, todavía Powershell sigue siendo un arma muy útil en cuanto no se suele bloquear su uso (como se hace por ej. con cmd.exe), no se monitoriza y muchos productos de seguridad de puesto de usuario ni siquiera revisan su actividad. Además existen algunos toolkits de ataque en Powershell que facilitan mucho la vida a los pentesters (buenos y malos):
Uso: Recon, escalado de privilegios, robo de credentiales, persistencia.
Autores: Matt Graeber (@Mattifestation) & Chris Campbell (@obscuresec)
Cmdlets populares:
Uso: robo y reutilización de credenciales, Persistencia
Autor: Joseph Bialek (@clymb3r)
Uso: Recon
Autor: Will Harmjoy (@HarmJ0y)
Cmdlets populares:
Es parte de PowerShell Empire.
Uso: Escalado de privilegios.
Autor: Will Harmjoy (@harmj0y)
Cmdlets populares:
Uso: Recon, Robo de credenciales, escalado de privilegios, persistencia
Autor: Nikhil Mitt (@nikhil_mitt)
Cmdlets populares:
Autores: Will Schroeder (@harmj0y) & Justin Warner (@sixdub) & Matt Nelson (@enigma0x3)
Módulos:
Autor: Jared Haight (@jaredhaight)
Ḿódulos:
Fuente: https://adsecurity.org/?p=2921
Más sobre powershell (incluyendo herramientas adicionales) en el blog: http://www.hackplayers.com/search/label/powershell
No obstante, todavía Powershell sigue siendo un arma muy útil en cuanto no se suele bloquear su uso (como se hace por ej. con cmd.exe), no se monitoriza y muchos productos de seguridad de puesto de usuario ni siquiera revisan su actividad. Además existen algunos toolkits de ataque en Powershell que facilitan mucho la vida a los pentesters (buenos y malos):
PowerSploit
Descripción: Un Framework de Post-Exploitation en powershell usado por muchas herramientas de ataque.Uso: Recon, escalado de privilegios, robo de credentiales, persistencia.
Autores: Matt Graeber (@Mattifestation) & Chris Campbell (@obscuresec)
Cmdlets populares:
- Invoke-DllInjection.ps1
- Invoke-Shellcode.ps1
- Invoke-WmiCommand.ps1
- Get-GPPPassword.ps1
- Get-Keystrokes.ps1
- Get-TimedScreenshot.ps1
- Get-VaultCredential.ps1
- Invoke-CredentialInjection.ps1
- Invoke-Mimikatz.ps1
- Invoke-NinjaCopy.ps1
- Invoke-TokenManipulation.ps1
- Out-Minidump.ps1
- VolumeShadowCopyTools.ps1
- Invoke-ReflectivePEInjection.ps1
Invoke-Mimikatz
Características: Ejecución de Mimikatz desde PowerShell, robo de credendiales e inyección, creación de tickets Kerberos y másUso: robo y reutilización de credenciales, Persistencia
Autor: Joseph Bialek (@clymb3r)
PowerView
Descripción: Herramienta de enumeración del DA escrita puramente en PowerShell. Ahora forma parte de PowerSploit.Uso: Recon
Autor: Will Harmjoy (@HarmJ0y)
Cmdlets populares:
- Get-NetUser
- Get-NetGroup
- Get-NetGroupMember
- Get-NetLocalGroup
- Get-NetSession
- Invoke-UserHunter
- Get-NetOU
- Find-GPOLocation
- Get-NetGPOGroup
- Get-ObjectACL
- Add-ObjectACL
- Invoke-ACLScanner
- Set-ADObject
- Invoke-DowngradeAccount
- Get-NetForest
- Get-NetForestTrust
- Get-NetForestDomain
- Get-NetDomainTrust
- Get-MapDomainTrust
PowerUp
Descripción: Identifica métodos para el escalado de privilegios local.Es parte de PowerShell Empire.
Uso: Escalado de privilegios.
Autor: Will Harmjoy (@harmj0y)
Cmdlets populares:
- Get-ServiceUnquoted
- Get-ServiceFilePermission
- Get-ServicePermission
- Invoke-ServiceAbuse
- Install-ServiceBinary
- Get-RegAutoLogon
- Get-VulnAutoRun
- Get-VulnSchTask
- Get-UnattendedInstallFile
- Get-WebConfig
- Get-ApplicationHost
- Get-RegAlwaysInstallElevated
Nishang
Descripción: PowerShell para tests de intrusión y seguridad ofensiva.Uso: Recon, Robo de credenciales, escalado de privilegios, persistencia
Autor: Nikhil Mitt (@nikhil_mitt)
Cmdlets populares:
- Get-Unconstrained
- Add-RegBackdoor
- Add-ScrnSaveBackdoor
- Gupt-Backdoor
- Invoke-ADSBackdoor
- Enabled-DuplicateToken
- Invoke-PsUaCme
- Remove-Update
- Check-VM
- Copy-VSS
- Get-Information
- Get-LSASecret
- Get-PassHashes
- Invoke-Mimikatz
- Show-TargetScreen
- Port-Scan
- Invoke-PoshRatHttp
- Invoke-PowerShellTCP
- Invoke-PowerShellWMI
- Add-Exfiltration
- Add-Persistence
- Do-Exfiltration
- Start-CaptureServer
PowerShell Empire
Descripción: integra módulos que permiten la explotación inicial, Recon, robo y reutilización de credenciales, persistencia. Además incluye RAT en powershell, servidor en Python y cifra con AES los canales C2.Autores: Will Schroeder (@harmj0y) & Justin Warner (@sixdub) & Matt Nelson (@enigma0x3)
Módulos:
- Code Execution
- Collection
- Credentials
- Exfiltration
- Exploitation
- Lateral Movement
- Management
- Persistence
- Privilege Escalation
- Recon
- Situational Awareness
- Fun & Trollsploit
- Invoke-DllInjection
- Invoke-ReflectivePEInjection
- Invoke-ShellCode
- Get-ChromeDump
- Get-ClipboardContents
- Get-FoxDump
- Get-IndexedItem
- Get-Keystrokes
- Get-Screenshot
- Invoke-Inveigh
- Invoke-NetRipper
- Invoke-NinjaCopy
- Out-Minidump
- Invoke-EgressCheck
- Invoke-PostExfil
- Invoke-PSInject
- Invoke-RunAs
- MailRaider
- New-HoneyHash
- Set-MacAttribute
- Get-VaultCredential
- Invoke-DCSync
- Invoke-Mimikatz
- Invoke-PowerDump
- Invoke-TokenManipulation
- Exploit-Jboss
- Invoke-ThunderStruck
- Invoke-VoiceTroll
- Set-Wallpaper
- Invoke-InveighRelay
- Invoke-PsExec
- Invoke-SSHCommand
- Get-SecurityPackages
- Install-SSP
- Invoke-BackdoorLNK
- PowerBreach
- Get-GPPPassword
- Get-SiteListPassword
- Get-System
- Invoke-BypassUAC
- Invoke-Tater
- Invoke-WScriptBypassUAC
- PowerUp
- PowerView
- Get-RickAstley
- Find-Fruit
- HTTP-Login
- Find-TrustedDocuments
- Get-ComputerDetails
- Get-SystemDNSServer
- Invoke-Paranoia
- Invoke-WinEnum
- Get-SPN
- Invoke-ARPScan
- Invoke-PortScan
- Invoke-ReverseDNSLookup
- Invoke-SMBScanner
PS>Attack
Descripción: PS>Attack es una consola portable que incluye muchas herramientas ofensivas que llaman a PowerShell (System.Management.Automation.dll) a través de .Net. Además las herramientas son cifradas (evasión AV) y descifradas en memoria en tiempo de ejecución.Autor: Jared Haight (@jaredhaight)
Ḿódulos:
- Powersploit
- Invoke-Mimikatz
- Get-GPPPassword
- Invoke-NinjaCopy
- Invoke-Shellcode
- Invoke-WMICommand
- VolumeShadowCopyTools
- PowerTools
- PowerUp
- PowerView
- Nishang
- Gupt-Backdoor
- Do-Exfiltration
- DNS-TXT-Pwnage
- Get-Infromation
- Get-WLAN-Keys
- Invoke-PsUACme
- Powercat
- Inveigh
Fuente: https://adsecurity.org/?p=2921
Más sobre powershell (incluyendo herramientas adicionales) en el blog: http://www.hackplayers.com/search/label/powershell
Interesting article! Thank for this post. Here is nice http://www.jetta-talo.fi/rakenna-koti/ company that offers interesting houses.
ResponderEliminar