Security Analysis

PowerShell script to dump lsass.exe process memory to disk for credentials extraction via silent process exit mechanism.

https://github.com/CompassSecurity/PowerLsassSilentProcessExit
#windows #lsass #dump #silent #powershell
@securation

GitHub

GitHub - CompassSecurity/PowerLsassSilentProcessExit

Contribute to CompassSecurity/PowerLsassSilentProcessExit development by creating an account on GitHub.

1.85K views04:01

Security Analysis

⭕️ Window Privilege Escalation: Automated Script

Table of Content
Introduction
Privilege Escalation Vectors
Getting Access on Windows Machine
WinPEAS
Seatbelt
SharpUp
JAWS – Just Another Windows (Enum) Script
PowerUp
Powerless
Metasploit:
Windows-Exploit-Suggester
Sherlock
WinPEAS/SharpUp/Seatbelt
PowerShell Empire:
WinPEAS
PowerUp
Sherlock
Watson
Privesccheck

Link

#privsec #Powershell #empire #winpes #sharpup
@securation

👍1

1.9K views13:18

Security Analysis

مدت های طولانی هکر ها از powershell و jscript و VBA استفاده می کردند تا script هاشون رو روی memory بدون نوشته شدن چیزی روی Disk اجرا کنند. ماکروسافت قابلیتی رو به نام Anti-Malware Scanning Interface (AMSI) رو به وجود آورد که اساسا این AMSI یک API به نام AMSI.dll هستش که زمانی که شما powershell یا powershell_ISE رو باز کنید، به صورت کاملا automatic این AMSI.dll رو load می کنه. AMSI میاد تمام کامند های powershell, jscript, VBA و .Net رو موقع run-time کپچر می کنه و برای بررسی به Anti-Virus ای که روی سیستمتون نصب هست می فرسته که به صورت پیش فرض همون Windows defender هستش (البته همه ی AV ها قابلیت interact با AMSI رو ندارند !!! با توجه به اینکه microsoft سال 2015 رو داده این آمار خیلی بده برای AV هایی که هنوز این قابلیت رو ندارند )
موقعی که یک powershell session رو باز می کنید یک سری function هایی از AMSI که شامل AmsiInitialize, AmsiOpenSession, AmsiScanString, AmsiScanBuffer, and AmsiCloseSession که این ها یک سری اطلاعات رو capture می کنند و توسط Remote Procedure Call(RPC) برای windows defender (به عنوان مثال عرض کردم می تونه هر AV دیگه ای باشه) ارسال می کنند و جواب رو windows defender به AMSI.dll که داخل powershell process هست بر میگردونه. همون طور که می دونید همیشه این قابلیت های امنیتی که میان هکرا هم یک راهی برای دور زدنشون پیدا می کنند که مبحث خیلی خیلی گستردست و شاید باز کردنش ساعت ها زمان بخواد اما چند مورد از انواع روش های bypass که بخوام نام ببرم میشه به Context manipulation, Attack initialization و binary patching و غیره هستش که همه به نوعی از reflection استفاده می کنند. البته که میشه ما برای bypass کردنه AMSI از تکنیک های obfuscation یا encoding توی powershell استفاده کنیم اما این کار خیلی طاقت فرسایی هستش چون هر روز AV یک update میده و اونارو detect میکنه. بهترین کار این هستش که ما به صورت manual از تکنیک های reflection استفاده کنیم و از ابزارایی مثل frida و windbg استفاده کنیم اما خب به دلیل اینکه اینکار می تونه برای خیلیا که اطلاعی راجب این حوزه ندارند دشوار باشه دو تا از پروژه هایی که می تونند به صورت automatic به جای شما این تکنیک های bypass رو انجام بدهند من این زیر معرفی می کنم (100% به اندازه ی روش دستی که خودتون اینکارو انجام بدید موثر نیست)
https://amsi.fail/
https://github.com/OmerYa/Invisi-Shell
#powershell #av #bypass #VBA
@securation

GitHub

GitHub - OmerYa/Invisi-Shell: Hide your Powershell script in plain sight. Bypass all Powershell security features

Hide your Powershell script in plain sight. Bypass all Powershell security features - OmerYa/Invisi-Shell

5.18K viewsedited 09:10

Security Analysis

⭕️ ماژول کاربردی DeepBlueCLI یکی از ماژولهایی هست که برای Powershell نوشته شده که در شکار تهدیدات استفاده میشه , از تشخیص دستورات Obfuscated و Compressed/Base64 encoded در Events log ویندوز , تا شناسایی اجرای حملات با Bloodhound و اکسپلویت های لوکالی که سطح دسترسی رو ارتقا میدن یا یوزر با سطح دسترسی ادمین میسازن یا ربودن پسوردها و حتی سرچ هایی که توی Regex انجام میشه توسط شخص اتکر از قابلیت های این ماژول هستش..
https://github.com/sans-blue-team/DeepBlueCLI
#forensic #DFIR #ThreatHunting #Event
#Powershell
@securation

3.35K views09:04

Security Analysis

⭕️ دو تا اسکریپت جدید Powershell که واسه بایپس آنتی ویروس نوشته شدن:)

https://github.com/tihanyin/PSSW100AVB

#powershell #AVbypass #script
@securation

2.61K views18:48

Security Analysis

⭕️ AMSI.fail generates obfuscated PowerShell snippets that break or disable AMSI for the current process

https://amsi.fail

#amsi #powershell #bypass
@securation

1.71K views08:32

Security Analysis

⭕️ List privileged services that don't come with Windows 10

https://gist.github.com/wdormann/89ed779933fe205fb52ecf3eacf5ff40

#Red_Team #Powershell
@securation

Gist

List privileged services that don't come with Windows 10

List privileged services that don't come with Windows 10 - privileged.ps1

1.76K viewsedited 06:44

Security Analysis

AS-22-Korkos-AMSI-and-Bypass.pdf

1.3 MB

⭕️ Two new AMSI bypass PoC's via Provider Patching into my Amsi-Bypass-Powershell repo. Plus one PoC in Nim as pull request for OffensiveNim:

https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell#with-add-type
#amsi #bypass #powershell
@securation

🔥6👎2

2.51K viewsAdel, 19:05

Security Analysis

⭕️ در پروسه Red Team ما یکی از مواردی که همیشه بهش نیاز پیدا میکنیم اسکریپت های Powershell هست که یا خودمون مینویسیم یا از منابع مختلف بروز استفاده میکنیم .
یکی از منابعی که میتونه کمک کننده باشه برای ما در پروسه ی Red Team روی سرویس های ماکروسافت و اکتیو دایرکتوری لینک زیر است که شامل موارد زیر میشه:‌

SQL & FTP Credential
brute force Local User Credential
Kerberos Double Hop
privesc
UAC bypass
clear text cached password
Simple HTTP Server
ldap info
inject payload in the memory
initial enume

https://github.com/tobor88/PowerShell-Red-Team
#powershell #redteam #AD
@securation

GitHub

GitHub - tobor88/PowerShell-Red-Team: Collection of PowerShell functions a Red Teamer may use in an engagement

Collection of PowerShell functions a Red Teamer may use in an engagement - tobor88/PowerShell-Red-Team

🔥6👍2👎1

3.08K views07:28

About

Blog

Apps

Platform