PowerAL:一款助力识别AppLocker弱点的PowerShell模块
项目地址: https://gitcode.com/gh_mirrors/po/PowerAL PowerAL 是一个开源的 PowerShell 模块,主要使用 PowerShell 语言编写。该项目的目的是帮助安全专家和系统管理员轻松识别 AppLocker 的配置缺陷和潜在弱点。
核心功能
PowerAL 提供了一系列功能强大的命令,以帮助用户检测和评估 AppLocker 规则。以下是一些核心功能:
Expand-PALPath:展开并检查 AppLocker 规则中的路径。Get-PALPathStatus:获取特定路径的 AppLocker 规则状态。Get-PALPoshV2Installed:检查 PowerShell 版本是否支持 AppLocker。Get-PALPublisherStatus:获取发布者规则的 AppLocker 状态。Get-PALRules:从注册表中提取 AppLocker 规则。Get-PALRuleSectionStatus:获取 AppLocker 规则部分的状态。Get-PALServiceStatus:检查 AppLocker 服务的状态。Get-PALMissingADSRules:检测缺失的 ADS 规则。Get-PALMissingAllowedPaths:查找缺失的允许路径。Get-PALWriteableAllowedPaths:检测可写的允许路径。Get-PALWriteablePaths:获取可写路径。Invoke-PALAllInfo:收集 AppLocker 的所有相关信息。Invoke-PALBypassPwn:执行已知绕过技巧。Invoke-PALCLMTempBypass:执行临时的绕过策略。Invoke-PALExploitableRules:识别可利用的规则。Invoke-PALKnownBypasses:执行已知绕过方法(功能尚不完善)。
最近更新的功能
在最近的更新中,PowerAL 增加和改进了以下功能:
- 添加了
ExceptionsAsDeny参数到Get-PALRules命令,以便更好地处理异常。 - 创建了
Get-PALMissingADSRules命令,用于检测缺失的 ADS 规则。 - 优化了
Get-PALWriteableAllowedPaths命令,避免重复扫描相同的区域,并在全局变量中保持之前的扫描结果。 - 改进了
Get-PALRules命令,改为从注册表中提取 AppLocker 规则,而不再使用原生方法。 - 重新编写了
Get-PALEXploitablerules命令,增加了对 ADS 的检查和其他一些功能。
PowerAL 不断更新和改进,为用户提供了强大的工具来确保 AppLocker 规则的安全性和有效性。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
