Herramientas de seguridad en Powershell

Powershell lleva unos años de moda y cada vez más se ven herramientas en el mundo de la seguridad que hacen uso de este lenguaje de script para Windows. Por ese motivo y a modo de referencia, me gustaría compartir con vosotros algunos proyectos que hacen uso de este lenguaje para automatizar tareas en los análisis de seguridad y auditorias.

Algunas de estas herramientas son realmente prácticas y una vez nos hemos familiarizado con ellas se hace difícil hacer algunas tareas sin ellas.

El recopilatorio también es útil si queremos aprender como otros autores han solucionado problemas en este lenguaje utilizando en muchas ocasiones funciones y métodos de bajo nivel.

• https://github.com/Veil-Framework/PowerTools/tree/master/PowerUp: múltiples herramientas para la escalada de privilegios en Windows: identificación de servicios vulnerables, DLL hijacking, errores en permisos de ficheros y registro, etc. Hoy en día una herramienta básica en cualquier análisis de seguridad o hacking ético que involucre Windows.
• https://github.com/NetSPI/PEchecker: comprueba las opciones de compilación y el soporte de ASLR, DEP, SafeSEH, StrongNaming y Authenticode del ejecutable.
• https://github.com/darkoperator/Posh-SecMod: otro framework esencial que permite interactuar con shodan, metasploit, nessus, virustotal, realizar auditorías, técnicas de postexplotación o de descubrimiento. Un *must* de @carlos_perez.
• https://github.com/clymb3r/PowerShell: conjunto de scripts para manipular credenciales y tokens del sistema operativo así como invocar mimikatz.
• https://github.com/samratashok/nishang: Junto a Posh-SecMod y PowerUp, otro conjunto de scripts altamente recomendable. Las herramientas que incluye darían para una serie de entradas.
• https://github.com/mattifestation/PowerSploit: no merece la pena que lo describa en tres líneas. Es una herramienta básica que merece una entrada como mínimo. Imprescindible en la post-explotación.
• https://github.com/mmessano/PowerShell: decenas de scripts distintos para facilitar la administración de sistemas y gestionar la seguridad. Tanto unos como otros son siempre útiles.
• https://github.com/samratashok/Kautilya: herramienta para utilizar HID en los tests de intrusión. Hay una serie de posts de los que también dan para escribir media docena de entradas de resumen.
• https://github.com/davehull/Kansa: no todo es hacking en este mundo, para la respuesta de incidentes también hay opciones.
• https://github.com/silverhack/voyeur: genera un reporte del directorio activo que es útil para el análisis forense, respuestas ante incidentes o revisiones de seguridad.
• https://github.com/nullbind/Powershellery: scripts de obtención de información, como registros SPN, SQLServer o sesiones de red establecidas.
• https://github.com/curi0usJack/activedirectory: realiza una comprobación de seguridad y permite solucionar las deficiencias. https://github.com/rohnedwards/PowerShellAccessControl: es otra herramienta similar es donde se revisan ficheros, carpetas, registro, servicios, impresoras, procesos o recursos compartidos.
• Ejemplos de utilidades para el análisis del directorio activo: adSecurityChecker, psadaudits o PowerShell-AD-Recon
• https://github.com/mwjcomputing/PowerShell-Post-Exploitation-Tools: scripts para la postexplotación, con funciones para exfiltrar información por distintos canales.
• https://gallery.technet.microsoft.com/scriptcenter/GetRemoteSAM-b9eee22f: permite copiar la SAM de un sistema remoto utilizando el bien conocido método de leer el fichero del "Volume Shadow Copy"

Pero no es todo, hay decenas de ejemplos y utilidades más que crecen día a día en el repositorio de Microsoft o en webs como github. ¿Ya eres experto en powershell? ¿A qué esperas?

Fuente: Security by Default

Suscríbete a nuestro Boletín