DeepBlueCLI

Objetivos
Creación de usuarios
Adición de usuarios a grupos
Adquisición de contraseñas
Rociado de contraseñas
Uso de herramientas ofensivas Bloodhound
Comandos ofuscados
Uso de PowerShell para descargar archivos remotos
Creación de servicios sospechosos
Uso de Mimikatz para volcar LSASS.exe para la recogida de credenciales
Etc
Cambiar la Execution Policy
Set-ExecutionPolicy Bypass -Scope CurrentUser
Buscar en un archivo evtx
./DeepBlue.ps1 ../Log1.evtx
Buscar en un log del sistema directamente
Es imprescindible ejecutar Powershell como Administrador
./DeepBlue.ps1 -log security
​
./DeepBlue.ps1 -log system
Output
# CSV
.\DeepBlue.ps1 .\evtx\psattack-security.evtx | ConvertTo-Csv
​
# FORMAT LIST (Default)
.\DeepBlue.ps1 .\evtx\psattack-security.evtx | Format-List
​
# FORMAT TABLE
.\DeepBlue.ps1 .\evtx\psattack-security.evtx | Format-Table
​
# GRIDVIEW
.\DeepBlue.ps1 .\evtx\psattack-security.evtx | Out-GridView
​
# HTML
.\DeepBlue.ps1 .\evtx\psattack-security.evtx | ConvertTo-Html
​
# JSON
.\DeepBlue.ps1 .\evtx\psattack-security.evtx | ConvertTo-Json
​
# XML
.\DeepBlue.ps1 .\evtx\psattack-security.evtx | ConvertTo-Xml

Última actualización 11mo ago