Situational Awareness（situational awareness）

Situational Awareness（situational awareness）

原文：view、net user等，以获取主机和域信息。因为蓝色团队可以监视这些命令并触发警报。所以使用其他方法，如PowerShell和WMI，避免在环境探索的过程中被检测。

PowerViewPowerView是由Will Schroeder开发的PowerShell脚本，是PowerSploit框架和Empire的一部分。该脚本仅依赖于PowerShell和WMI (Windows管理工具)进行查询。从现有的meterpreter会话PowerView中可以加载和执行以下命令来检索关于域的信息：meterpreter > load powershellmeterpreter > powershell_import /root/Desktop/PowerView.ps1meterpreter > powershell_execute Get-NetDomainPowerView有各种各样的cmdlet，可以发现本地管理员。meterpreter > powershell_execute Invoke-EnumerateLocalAdminInvoke-UserHunter可以帮助扩展网络访问，因为它可以识别用户登录的系统，并且可以验证当前用户是否有本地管理员访问这些主机。PS > Invoke-UserHunterPowerView包含多个cmdlet，还可以检索域信息。PS > Get-NetForest还有一些模块可以执行基于主机的枚举。(Empire: xx) > usemodule situational_awareness/host/winenum(Empire: powershell/situational_awareness/host/winenum) ＞ info另外还有一个PowerView的Python实现，如果提供了凭证，它可以在不属于域内的主机上执行。#./pywerver.py get-netshare -w PENTESTLAB -u test -p Password123 --computername WIN-PTELU2U07KGBullock开发了HostRecon并可以使用PowerShell和WMI查询从主机检索各种信息以逃避检测。HostRecon可以枚举本地用户和主机的本地管理员。该脚本将执行一系列检查，以确定防火墙状态、安装的防病毒解决方案(如果使用了LAPS)和应用程序白化产品。因为保持隐形是红队评估的首要任务，获得这方面的知识对于在这一阶段和以后使用的闪避行动是必不可少的。该脚本还会尝试识别域名密码策略，域控制器和域管理员等域名信息。meterpreter > powershell_import /root/Desktop/HostRecon.ps1meterpreter > powershell_execute Invoke-HostReconChiles开发在主机上执行时提供详细信息，和HostRecon类似。 HostEnum既可以在本地执行，也可以从内存中执行，并可以以HTML格式生成输出。meterpreter > load powershellmeterpreter > powershell_import /root/Desktop/HostEnum.ps1meterpreter > powershell_shellPS > Invoke-HostEnum -Local -Domain 参数-Domain将执行某些域检查，如检索域用户列表和其他域信息。Ross开发的，它的目的是允许红色团队在不部署原始植入物的情况下进行侦察。该脚本可以捕获击键和屏幕截图、执行命令和shell代码，还可以加载PowerShell脚本以执行其他任务。在进行任何操作之前，需要首先使用本地管理员凭证将脚本远程安装到主机中，或者如果当前用户已经是目标主机上的本地管理员，则只需要计算机名。PS C:\> Import-Module .\RemoteRecon.ps1PS C:\> Install-RemoteRecon -ComputerName 'WIN-2NE38K15TGH'通过脚本执行的命令的输出可以用-Results参数来检索。PS C:\> Invoke-PowerShellCmd -ComputerName 'WIN-2NE38K15TGH' -Cmd "ps -name exp" -VerbosePS C:\> Invoke-PowerShellCmd -ComputerName 'WIN-2NE38K15TGH' -Resultshttps://github.com/xorrior/RemoteRecon

参考：https://github.com/PowerShellMafia/PowerSploit/tree/master/Reconhttps://blackhillsinfosec.com/hostrecon-situational-awareness-tool/http://threatexpress.com/2017/05/invoke-hostenum/https://github.com/dafthack/HostReconhttps://github.com/xorrior/RemoteRecon

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。