Заметки на полях: PowerShell для пентестера. Часть 5 Сегодня | [MIS]ter & [MIS]sis Team
Заметки на полях: PowerShell для пентестера. Часть 5
Сегодня рассказ немного необычный. Рассказываем про известный модуль - PSReadline.
Все команды, введенные в PowerShell хранятся открытым текстом в профиле пользователя по пути \AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt. Там можно встретить команды, которые выполнялись на компьютере пользователя и иногда даже какие-то пароли. Для RedTeam специалиста это может быть полезно.
Также хороший специалист подумает о том, что его PowerShell действия тоже логируются и с этим надо что-то сделать, чтобы не предоставить BlueTeam информацию в открытом виде. Вариантов не очень много - либо поменять пусть к файлу, в котором хранится история, либо использовать флаг - не записывать в историю.
Ссылочка на официальную документацию с флагами: https://docs.microsoft.com/en-us/powershell/module/psreadline/set-psreadlineoption?view=powershell-7.1&viewFallbackFrom=powershell-6
Если кому интересно почитать: https://www.windowsmanagementexperts.com/the-danger-of-default-settings-the-psreadline-module/the-danger-of-default-settings-the-psreadline-module.htm
![Telegram channel [MIS]ter & [MIS]sis Team logo](https://logos.telegram-store.com/channels/mis-team/telegram_logo.jpg){kind=logo}