29 abril 2015

Herramientas de seguridad en Powershell: Posh-SecMod

Uno de los primeros y más potentes frameworks de seguridad en powershell es Posh-SecMod, creado por Carlos Perez este conjunto de herramientas facilita decenas de tareas para cualquier experto en seguridad.

Las funciones están divididas en distintas categorías: Discovery; con descubrimiento de redes, Parse; importa resultados de otras herramientas como Nmap o DNSRecon, PostExplotation; funciones para facilitar la tarea de post explotación, Registry; para manipular el registro de un sistema remoto vía WMI, Utilities; con herramientas varias, Audit; con los que obtener información del sistema, Database; para la manipulación de bases de datos, 

Adicionalmente y ahora en otros repositorios, también hay módulos "Posh" para Shodan; que con la correspondiente API facilita su consulta, VirusTotal; al igual que la anterior, gestión de la plataforma vía powershell y Metasploit; funciones para interactuar con el famoso framework de explotación de vulnerabilidades mediante el uso de la API XMLRPC y Nessus; con funciones que hacen posible la gestión de este escáner de vulnerabilidades en su versión 5.

Instalar el framework es tan sencillo como invocar desde powershell los comandos que se muestran en la imagen.

Instalación de Posh-SecMod

Una vez se instala las funciones quedan disponibles para invocarse según sean necesarias. Son demasiadas para enumerarlas todas, pero al finalizar el proceso se listan.

Del grupo de Discovery, destacan utilidades para detectar puertos abiertos, sistemas que responden a ping, o ARP. También es posible hacer resolución inversa de DNS, o consultas de registros SRV.

Funciones de Discovery

De la parte de post explotación un buen ejemplo es PostHashdumpScript, que permite volcar las hashes de la SAM como las conocidas herramientas del tipo hashdump/pwdmp.

Ejemplo del funcionamiento de Get-PostHashdumpScript

Las utilidades para conectar con distintas APIs son muy prácticas y seguro que son utilizadas por nuestros lectores para sus propios scripts. La siguiente imagen muestra la sencillez de instalar y lanzar un análisis de un ejecutable contra la plataforma de VirusTotal con Posh-VirusTotal.

Instalación y ejecución de Posh-VirusTotal


3 comments :

Ronny Vasquez dijo...

Que excelente herramienta gracias por compartir!

Juan Garrido dijo...

Muy currado y muy útiles para el día a día

minsqui dijo...

Menudo tutorial, me lo guardo que tengo claro ya que me va a ser muy útil!!