WINSpect-基于Powershell的Windows安全审计工具

× 文章目录
  1. 1. 0x00 描述
  2. 2. 0x01 功能
  3. 3. 0x02 使用
  4. 4. 0x03 排错

项目地址

0x00 描述

WINSpect是一款基于Powershell的Windows安全审计工具,可用于枚举和识别Windows平台的安全漏洞,以进一步的优化和加固平台的安全防护策略。

0x01 功能

WINSpect将为我们提供审计检查和枚举:

  • 检查已安装的安全产品
  • 检查DLL劫持
  • 检查用户账户控制设置
  • 本地文件系统共享
  • 具有本地组成员身份的域用户和组
  • 注册表autoruns
  • 可由Authenticated Users组成员配置的本地服务
  • Authenticated Users组成员可以写入相应二进制文件的本地服务
  • 非system32 Windows托管服务及其相关的DLL
  • 非引用服务路径漏洞
  • 非系统计划任务DLL劫持
  • 自动安装

0x02 使用

1
2
3
4
git clone [email protected]:A-mIn3/WINspect.git

# 使用管理员权限打开powershell,并运行WINSpect脚本
.\WINspect.ps1

0x03 排错

Win10系统使用过程中报错

1
2
3
4
5
6
7
.\WINspect.ps1 : 无法加载文件 E:\WINspect\WINspect.ps1,因为在此系统上禁止运行脚本。有关详细信息,请参阅 http
s:/go.microsoft.com/fwlink/?LinkID=135170 中的 about_Execution_Policies。
所在位置 行:1 字符: 1
+ .\WINspect.ps1
+ ~~~~~~~~~~~~~~
+ CategoryInfo : SecurityError: (:) [],PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess

是因为Windows PowerShell 执行策略限制你确定 Windows PowerShell 加载配置文件并运行脚本的条件。

通过Get-ExecutionPolicy命令获取挡前执行策略,默认执行策略为Restricted

  • 允许单独的命令,但不会运行脚本。
  • 阻止所有脚本文件的运行,包括格式设置文件和配置文件 (.ps1xml)、模块脚本文件 (.psm1) 和 Windows PowerShell 配置文件 (.ps1)。

更改执行策略

1
2
3
4
5
6
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

执行策略更改
执行策略可帮助你防止执行不信任的脚本。更改执行策略可能会产生安全风险,如 https:/go.microsoft.com/fwlink/?LinkID=135170
中的 about_Execution_Policies 帮助主题所述。是否要更改执行策略?
[Y] 是(Y) [A] 全是(A) [N] 否(N) [L] 全否(L) [S] 暂停(S) [?] 帮助 (默认值为“N”): y

详细内容参考about_Execution_Policies)