للتحقق من أن الكمبيوتر في مجموعة عم
تكوين جدار الحماية للسماح حركة مرور هتبس على المنفذ 5986. أدخل:
عداد المستمع وينرم هتبس، تحتاج إلى كتابة أو نسخ بصمة شهادة من الإخراج السابق. ثم قم بتشغيل هذا الرمز
للتحقق من أن الكمبيوتر في مجموعة عم
بدء جلسة عن بعد لاختبار مستمع هتبس. يركض:
بعد إدخال كلمة المرور، يتم عرض موجه جلسة العمل عن بعد، مما يؤكد اتصال هتبس ناجحا.
أولا، للتحقق من أن قائمة تروستيدوستس فارغة، تشغيل:
تدخلها هنا هي نفسها التي تستخدم عند إعادة التوجيه. على سبيل المثال،
للتحقق من صحة التهيئة، قم بتشغيل هذا مرة أخرى:
دعونا تحقق من أن CoreG2 في مجموعة عمل. أدخل:
لاختبار الاتصال أدخل:
مكن تكوين قائمة تروستيدوستس محليا أو باستخدام نهج
استهدف اسم الكمبيوتر يمكن أن يكون * البدل أو البدل محدود م
إلى وحدة تحكم مجال باسم FS1.
لعرض قائمة الوحدات النمطية على FS1،
لاستيراد وحدة أكتيف ديركتوري من FS1، أدخل:
لمعرفة عدد أوامر أد متوفرة الآن على الكمبيوتر المحلي، أدخل:
ستكون هذه الأوامر متوفرة طالما يمكنك الاحتفاظ بسسيون مفتوحة مع الكمبيوتر البعيد.
دعونا نختبر عن بعد عن طريق البحث عن حسابات الكمبيوتر في الدليل. أدخل:
تسيس إلى الموقع غير مسموح به حتى يتم تكوين قواعد التفويض لتعريف المستخدمين والمجموعات التي سيتم السماح لها باستخدام بوابة ويندوز بويرشيل وأجهزة الكمبيوتر التي يمكن للمستخدمين والمجموعات الاتصال بها. لإضافة قاعدة تفويض، اكتب ما يلي:
دعونا الاستفادة من وحدة تحكم بويرشيل على شبكة الإنترنت لإنشاء مشاركة شبكة الاتصال على اسم كمبيوتر بعيد FS1. أدخل:
للتحقق من الأذونات، قم بتشغيل
أوامر ويندوز مدمجة لتحديد ما إذا كان قد تم الاستيلاء على النظام
تجزئة الجداول وأمرت الكائنات المخصصة
مرة أخرى في بويرشيل 2 الحياة كان مربكا قليلا عند التعامل مع صفائف فارغة ومصفوفات فارغة.
أولا أنا جعل ملف الحمولة النافعة بسيطة فقط للتأكد من أن كل شيء يعمل.
منذ البرامج النصية بويرشيل يمكن النووية الجديدة النظام الخاص بك تماما، ويندوز ساجاسيوسلي تعطيل هذه البرامج النصية بشكل افتراضي.
لتغيير هذا، نحتاج إلى تعيين سياسة التنفيذ مؤقتا إلى غير المقيد. بالمناسبة، بعد تشغيل البرنامج النصي يجب تغيير سياسة التنفيذ مرة أخرى إلى مقيدة.
اكتب:
تحرير استراتيجية التنفيذ
استراتيجية التنفيذ يساعد على الحراسة ضد النصوص التي تحكم
لا يمكن الاعتماد عليها. عن طريق تعديل استراتيجية التنفيذ، تعرض نفسك لمخاطر
الموضحة في موضوع المساعدة about_Execution_Policies. تريد
تغيير استراتيجية التنفيذ؟
[O] نعم [N] لا [S] تعليق [؟] تعليمات (الافتراضي هو "O"):
ثم قم باستيراد البرنامج النصي بكتابة نقطة متبوعة بالمسار إلى PS1.
في المهوس الكلام وهذا ما يعرف باسم "نقطة مصادر" السيناريو وانها طريقة واحدة لاستيراد وظائف في بويرشيل.
سترى فوسيلاد من التحذيرات الأمنية - وهو أمر جيد. ولكن هذا هو السبب الذي قلت لك لفحص السيناريو أولا. لا تنفذ بشكل متعمد نصوص برمجية تجدها عبر الإنترنت. تحقق دائما من التعليمات البرمجية أولا حتى تتمكن من الحصول على بعض فكرة ما يفعله.
اضغط على "r" لتشغيل البرنامج النصي ثم قم بتنفيذ تفريغ الذاكرة
عظيم الآن نحن على استعداد لموسيقى الروك.
الوجه الخلفي إلى محطة ميميكاتز وتحميل في تفريغ لساس استولينا في بويرشيل.
يجب أن تتحول إلى ملف مينيدومب حتى الآن يمكننا عرض كلمات المرور
الآن لكمة في:
للتحقيق في جوانب أخرى من المضيف، يمكن استخدام خطوط أوامر مختلفة لجمع البيانات حول نظام التشغيل. للحصول على قائمة من تكوينات إب، يمكن للمشرفين لنا
Ipconfig –a
يمكن استخدام الأمر نيتش لإدراج حالة جدار الحماية مع:
يمكن استخدام الأمر دريفيركيري لإدراج أي برامج تشغيل قيد الاستخدام والتي يمكن استخدامها لتحديد برامج التشغيل الضارة المحتملة
يمكن توجيه كل هذه الأوامر إلى ملف باستخدام عامل التشغيل ">"، على سبيل المثال
للتحقق من أن الكمبيوتر في مجموعة عمل وأنه تم تثبيت شهادة في مخزن الكمبيوتر. أدخل:
Get-CimInstance –ClassName Win32_ComputerSystem
Get-ChildItem –Path Cert:\LocalMachine\My
Netsh AdvFirewall firewall add rule name="WinRM (HTTPS)"
protocol=TCP dir=in localport=5986 action=allow
New-WSManInstance winrm/config/Listener
Get-ChildItem -Path Cert:\LocalMachine
Enter-PSSession –ComputerName Server1 –Credential Server1\Administrator -UseSSL
hostname
Get-Item –Path WSMan:\localhost\Client\TrustedHosts
Set-Item -Path WSMan:\localhost\Client\TrustedHosts -Value CoreG2
Get-Item –Path WSMan:\localhost\Client\TrustedHosts
Get-CimInstance –ClassName Win32_ComputerSystem | FL
Enter-PSSession –ComputerName CoreG2 –Credential CoreG2\Administrator
Enable-WSManCredSSP –Role Client –Delegate
Enable-WSManCredSSP –Role Server
$rdc = New-PSSession –ComputerName FS1
Get-Module -List -PSSession $rdc | FT ModuleType,Name -AutoSize
Import-Module -PSSession $rdc -Name ActiveDirectory
Get-Command –Module ActiveDirectory | Measure-Object
دعونا نختبر عن بعد عن طريق البحث عن حسابات الكمبيوتر في الدليل. أدخل:
Get-ADComputer –Filter * –SearchBase “OU=file servers,dc=lanztek,dc=local” |
Select Name,ObjectGUID | FT -Autosize
Add-PswaAuthorizationRule –UserName Lanztek\Administrator
-ComputerName * -ConfigurationName *
دعونا الاستفادة من وحدة تحكم بويرشيل على شبكة الإنترنت لإنشاء مشاركة شبكة الاتصال على اسم كمبيوتر بعيد FS1. أدخل:
New-SmbShare –name Updates –Path c:\updates –FullAccess lanztek\admin –ReadAcess HelpDesk
Get-SmbShareAccess –Name Updates
wmic process
wmic process list brief
wmic process list full
wmic startup list full
wmic process list brief /every:1 CTRL + C
openfiles /local on
openfiles /query /v
netstat -nao
netstat –s –p icmp
whoami
تجزئة الجداول وأمرت الكائنات المخصصة
Get-ChildItem . | Where-Object { "Contacts", "Desktop" -contains $_.BaseName }
[PSCustomObject] @{ Something = 1; SomethingElse = 2 }
Get-ChildItem . | Select-Object -ExpandProperty FullName
Get-ChildItem . | ForEach-Object { "Never triggered in an empty directory" }
$items = Get-ChildItem .
foreach ($item in $items) {
"Always triggered in an empty directory"
}
أولا أنا جعل ملف الحمولة النافعة بسيطة فقط للتأكد من أن كل شيء يعمل.
Get-ChildItem c:\ > $env:temp\dirlist.txt
notepad $env:temp\dirlist.txt
لتغيير هذا، نحتاج إلى تعيين سياسة التنفيذ مؤقتا إلى غير المقيد. بالمناسبة، بعد تشغيل البرنامج النصي يجب تغيير سياسة التنفيذ مرة أخرى إلى مقيدة.
اكتب:
تحرير استراتيجية التنفيذ
استراتيجية التنفيذ يساعد على الحراسة ضد النصوص التي تحكم
لا يمكن الاعتماد عليها. عن طريق تعديل استراتيجية التنفيذ، تعرض نفسك لمخاطر
الموضحة في موضوع المساعدة about_Execution_Policies. تريد
تغيير استراتيجية التنفيذ؟
[O] نعم [N] لا [S] تعليق [؟] تعليمات (الافتراضي هو "O"):
Set-ExecutionPolicy Unrestricted
C:\Users\vhudson\Documents\Scripts\PowerShell\Out-Minidump.ps1
سترى فوسيلاد من التحذيرات الأمنية - وهو أمر جيد. ولكن هذا هو السبب الذي قلت لك لفحص السيناريو أولا. لا تنفذ بشكل متعمد نصوص برمجية تجدها عبر الإنترنت. تحقق دائما من التعليمات البرمجية أولا حتى تتمكن من الحصول على بعض فكرة ما يفعله.
اضغط على "r" لتشغيل البرنامج النصي ثم قم بتنفيذ تفريغ الذاكرة
Get-Process lsass | Out-Minidump
تفريغ تفريغ في٪ ويندير٪ System32 \ ولكن نحن بحاجة إلى نقله إلى موقع مختلف حتى نتمكن من مشاهدته. استخدام كمد-كوبيت البند لفعل ثا
Copy-Item .\lsass_516.dmp C:\Users\Vonnie\Documents\Scripts\PowerShell\
الوجه الخلفي إلى محطة ميميكاتز وتحميل في تفريغ لساس استولينا في بويرشيل.
sekurlsa::minidump C:\Users\Vonnie\Documents\Scripts\PowerShell\lsass_516.dmp
الآن لكمة في:
sekurlsa::logonPasswords full
echo $Env:OS
cd HKLM:
Ipconfig –a
يمكن استخدام الأمر نيتش لإدراج حالة جدار الحماية مع:
netsh advfirewall export "firewall.txt"
driverquery /v /fo csv > drvlist.csv
C:\>ipconfig /a > ipconfig.txt
Post a Comment