• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья p0wnedShell - (PowerShell) Инструментарий для эксплуатации после завершения работы в PowerShell

p0wnedShell-e1513179958638-1000x485-1.jpg

p0wnedShell - это приложение для хоста PowerShell, написанное на C#, которое не полагается на powershell.exe, но выполняет команды и функции powershell в среде выполнения powershell (.NET). В него включено множество модулей и двоичных файлов PowerShell для упрощения процесса Post Exploitation. Мы попытались создать "все в одном" инструмент Post Exploitation, который можно было бы использовать для обхода всех решений по защите от несанкционированного доступа (или, по крайней мере, некоторых из них), и который включал бы в себя все необходимые инструменты. Его можно было использовать для выполнения современных атак в средах Active Directory, а также для создания осведомленности в команде Blue, чтобы они могли создавать правильные стратегии защиты.

Как его собрать:
Для компиляции p0wnedShell вам необходимо импортировать этот проект в Microsoft Visual Studio или, если у вас нет доступа к установке Visual Studio, вы можете скомпилировать его следующим образом:

Компилировать как бинарный файл x86:
Код:
cd \Windows\Microsoft.NET\Framework\v4.0.30319
csc.exe /unsafe /reference:"C:\p0wnedShell\System.Management.Automation.dll" /reference:System.IO.Compression.dll /win32icon:C:\p0wnedShell\p0wnedShell.ico /out:C:\p0wnedShell\p0wnedShellx86.exe /platform:x86 "C:\p0wnedShell\*.cs"

Скомпилировать как бинарный файл x64:
Код:
cd \ Windows \ Microsoft.NET \ Framework64 \ v4.0.30319
csc.exe / unsafe /reference:"C:\p0wnedShell\System.Management.Automation.dll "/reference:System.IO.Compression.dll / win32icon: C: \ p0wnedShell \ p0wnedShell.ico /out:C:\p0wnedShell\p0wnedShellx64.exe / platform: x64 "C: \ p0wnedShell \ *. cs"

p0wnedShell использует пространство имен System.Management.Automation, поэтому убедитесь, что у вас есть System.Management.Automation.dll в вашем исходном пути при компиляции вне Visual Studio.

Как им пользоваться:

Просто запустите исполняемые файлы или...

Для запуска в виде бинарного файла x86 и обхода Applocker :
Код:
cd \Windows\Microsoft.NET\Framework\v4.0.30319 (Or newer .NET version folder)
InstallUtil.exe /logfile= /LogToConsole=false /U C:\p0wnedShell\p0wnedShellx86.exe

Чтобы запустить как бинарный файл x64 и обойти Applocker:
Код:
cd \ Windows \ Microsoft.NET \ Framework64 \ v4.0.30319 (или более новая папка версии .NET)
InstallUtil.exe / logfile = / LogToConsole = false /UC:\p0wnedShell\p0wnedShellx64.exe

Что находится внутри пространства:
Следующие инструменты / функции PowerShell включены:
  • PowerSploit Invoke-Shellcode
  • PowerSploit Invoke-ReflectivePEInjection
  • PowerSploit Invoke-Mimikatz
  • PowerSploit Invoke-TokenManipulation
  • PowerSploit PowerUp
  • PowerSploit PowerView
  • HarmJ0y’s Invoke-Psexec
  • Besimorhino’s PowerCat
  • Nishang Invoke-PsUACme
  • Nishang Invoke-Encode
  • Nishang Get-PassHashes
  • Nishang Invoke-CredentialsPhish
  • Nishang Port-Scan
  • Nishang Copy-VSS
  • Kevin Robertson Invoke-Inveigh
  • Kevin Robertson Tater
  • FuzzySecurity Invoke-MS16-032
Функции Powershell в Runspace загружаются в память из строк кодирования Base64 .

Следующие двоичные файлы / инструменты включены:
  • enjamin DELPY’s Mimikatz
  • Benjamin DELPY’s MS14-068 kekeo Exploit
  • Didier Stevens modification of ReactOS Command Prompt
  • MS14-058 Local SYSTEM Exploit
  • hfiref0x MS15-051 Local SYSTEM Exploit
Двоичные файлы загружаются в память с помощью ReflectivePEInjection (байтовые массивы сжимаются с помощью Gzip и сохраняются в p0wnedShell как строки в кодировке Base64 ). Скачать p0wnedShell
---------------
 
Последнее редактирование модератором:
  • Нравится
Реакции: Vertigo и ☠xrahitel☠

Сергей Попов

Кодебай
30.12.2015
4 695
6 591
BIT
386
Перевод такой, измените
Нас не интересует бездумное выполнение работы. Статьи подобного качества будут удалены с форума, ибо вредят репутации. Пример:
Зачем пропускать в раздел гугл транслейт? получается собрание низкосортного шлака, еще и криво переведенного
 

Vlad

Green Team
28.01.2019
92
24
BIT
0
На что Вы полагаетесь, когда пишите: бездумное выполнение работы ?
 

Сергей Попов

Кодебай
30.12.2015
4 695
6 591
BIT
386
бездумное выполнение работы
Это публикация на форуме без чтения переносимой статьи. Никоим образом не хотел оскорбить Вас. Пытаюсь донести мысль, КАКИЕ статьи нам не нужны. Не тяните сюда не читаемый текст, он бесполезен для аудитории.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!