HKCU

Ejecutar la información que se encuentra en un valor dentro de la clave CLSID del Registro de Windows

Ejecutar la información que se encuentra en un valor binario del Registro de Windows

Rundll32 commands for Windows

Habilitar o deshabilitar un servidor proxy en Internet Explorer utilizando PowerShell

Habilitar

Deshabilitar

Windows Post Exploitation Cmdlets Execution (PowerShell)

Presence This section focuses on information gathering about the victim host and the network that it’s attached to. System

WMI

Networking

Users

Configs

Finding important files

Files to pull

Remote system access

Software

Auto­Start directories

Persistance This section focuses on gaining a foothold to re­gain, or re­obtain access to a system through means of authentication, backdoors, etc.. Download

Compress or expand ZIP archive

Reg command exit

Deleting logs

Uninstalling software “Antivirus”

Invasive or altering commands

Seguridad informática con PowerShell

Introducción Confidencialidad

Integridad

Seguridad física Analizar el hardware de los equipos de la empresa

Ver dispositivos conectados (móviles, almacenamiento USB, etc.)

Seguridad lógica Ver información sobre usuarios y grupos (usuario que ha iniciado sesión)

Crear usuarios y grupos (procedimiento de creación)

Analizar el software de los equipos de la empresa

Analizar los programas que están instalados en los equipos de la empresa y ver la relación que tienen con los procesos y servicios

Analizar los programas que están instalados en los equipos de la empresa y ver la relación que tienen con […]

Artefactos

Cambiar el fondo de escritorio