Beranda>Terkait pemrograman>Kode sumber lainnya
Unduh

Sabuk pengaman

Seatbelt adalah proyek C# yang melakukan sejumlah "pemeriksaan keselamatan" survei host berorientasi keamanan yang relevan dari perspektif keamanan ofensif dan defensif.

Skrip HostEnum.ps1 @andrewchiles dan Get-HostProfile.ps1 @tifkin_ memberikan inspirasi bagi banyak artefak untuk dikumpulkan.

@harmj0y dan @tifkin_ adalah penulis utama implementasi ini.

Sabuk pengaman dilisensikan di bawah lisensi BSD 3-Clause.

Daftar isi

  • Sabuk pengaman
    • Daftar isi
    • Penggunaan Baris Perintah
    • Kelompok Komando
      • sistem
      • pengguna
      • lain-lain
      • Grup Komando Tambahan
    • Argumen Perintah
    • Keluaran
    • Pencacahan Jarak Jauh
    • Membangun Modul Anda Sendiri
    • Instruksi Kompilasi
    • Ucapan Terima Kasih

Penggunaan Baris Perintah 



                        %&&@@@&&                                                                                  
                        &&&&&&&%%%,                       #&&@@@@@@%%%%%%###############%                         
                        &%&   %&%%                        &////(((&%%%%%#%################//((((###%%%%%%%%%%%%%%%
%%%%%%%%%%%######%%%#%%####%  &%%**#                      @////(((&%%%%%%######################(((((((((((((((((((
#%#%%%%%%%#######%#%%#######  %&%,,,,,,,,,,,,,,,,         @////(((&%%%%%#%#####################(((((((((((((((((((
#%#%%%%%%#####%%#%#%%#######  %%%,,,,,,  ,,.   ,,         @////(((&%%%%%%%######################(#(((#(#((((((((((
#####%%%####################  &%%......  ...   ..         @////(((&%%%%%%%###############%######((#(#(####((((((((
#######%##########%#########  %%%......  ...   ..         @////(((&%%%%%#########################(#(#######((#####
###%##%%####################  &%%...............          @////(((&%%%%%%%%##############%#######(#########((#####
#####%######################  %%%..                       @////(((&%%%%%%%################                        
                        &%&   %%%%%      Seatbelt         %////(((&%%%%%%%%#############*                         
                        &%%&&&%%%%%        v1.2.1         ,(((&%%%%%%%%%%%%%%%%%,                                 
                         #%%%%##,                                                                                 


Available commands (+ means remote usage is supported):

    + AMSIProviders          - Providers registered for AMSI
    + AntiVirus              - Registered antivirus (via WMI)
    + AppLocker              - AppLocker settings, if installed
      ARPTable               - Lists the current ARP table and adapter information (equivalent to arp -a)
      AuditPolicies          - Enumerates classic and advanced audit policy settings
    + AuditPolicyRegistry    - Audit settings via the registry
    + AutoRuns               - Auto run executables/scripts/programs
      azuread                - Return AzureAD info
      Certificates           - Finds user and machine personal certificate files
      CertificateThumbprints - Finds thumbprints for all certificate store certs on the system
    + ChromiumBookmarks      - Parses any found Chrome/Edge/Brave/Opera bookmark files
    + ChromiumHistory        - Parses any found Chrome/Edge/Brave/Opera history files
    + ChromiumPresence       - Checks if interesting Chrome/Edge/Brave/Opera files exist
    + CloudCredentials       - AWS/Google/Azure/Bluemix cloud credential files
    + CloudSyncProviders     - All configured Office 365 endpoints (tenants and teamsites) which are synchronised by OneDrive.
      CredEnum               - Enumerates the current user's saved credentials using CredEnumerate()
    + CredGuard              - CredentialGuard configuration
      dir                    - Lists files/folders. By default, lists users' downloads, documents, and desktop folders (arguments == [directory] [maxDepth] [regex] [boolIgnoreErrors]
    + DNSCache               - DNS cache entries (via WMI)
    + DotNet                 - DotNet versions
    + DpapiMasterKeys        - List DPAPI master keys
      EnvironmentPath        - Current environment %PATH$ folders and SDDL information
    + EnvironmentVariables   - Current environment variables
    + ExplicitLogonEvents    - Explicit Logon events (Event ID 4648) from the security event log. Default of 7 days, argument == last X days.
      ExplorerMRUs           - Explorer most recently used files (last 7 days, argument == last X days)
    + ExplorerRunCommands    - Recent Explorer "run" commands
      FileInfo               - Information about a file (version information, timestamps, basic PE info, etc. argument(s) == file path(s)
    + FileZilla              - FileZilla configuration files
    + FirefoxHistory         - Parses any found FireFox history files
    + FirefoxPresence        - Checks if interesting Firefox files exist
    + Hotfixes               - Installed hotfixes (via WMI)
      IdleTime               - Returns the number of seconds since the current user's last input.
    + IEFavorites            - Internet Explorer favorites
      IETabs                 - Open Internet Explorer tabs
    + IEUrls                 - Internet Explorer typed URLs (last 7 days, argument == last X days)
    + InstalledProducts      - Installed products via the registry
      InterestingFiles       - "Interesting" files matching various patterns in the user's folder. Note: takes non-trivial time.
    + InterestingProcesses   - "Interesting" processes - defensive products and admin tools
      InternetSettings       - Internet settings including proxy configs and zones configuration
    + KeePass                - Finds KeePass configuration files
    + LAPS                   - LAPS settings, if installed
    + LastShutdown           - Returns the DateTime of the last system shutdown (via the registry).
      LocalGPOs              - Local Group Policy settings applied to the machine/local users
    + LocalGroups            - Non-empty local groups, "-full" displays all groups (argument == computername to enumerate)
    + LocalUsers             - Local users, whether they're active/disabled, and pwd last set (argument == computername to enumerate)
    + LogonEvents            - Logon events (Event ID 4624) from the security event log. Default of 10 days, argument == last X days.
    + LogonSessions          - Windows logon sessions
      LOLBAS                 - Locates Living Off The Land Binaries and Scripts (LOLBAS) on the system. Note: takes non-trivial time.
    + LSASettings            - LSA settings (including auth packages)
    + MappedDrives           - Users' mapped drives (via WMI)
      McAfeeConfigs          - Finds McAfee configuration files
      McAfeeSiteList         - Decrypt any found McAfee SiteList.xml configuration files.
      MicrosoftUpdates       - All Microsoft updates (via COM)
      MTPuTTY                - MTPuTTY configuration files
      NamedPipes             - Named pipe names, any readable ACL information and associated process information.
    + NetworkProfiles        - Windows network profiles
    + NetworkShares          - Network shares exposed by the machine (via WMI)
    + NTLMSettings           - NTLM authentication settings
      OfficeMRUs             - Office most recently used file list (last 7 days)
      OneNote                - List OneNote backup files
    + OptionalFeatures       - List Optional Features/Roles (via WMI)
      OracleSQLDeveloper     - Finds Oracle SQLDeveloper connections.xml files
    + OSInfo                 - Basic OS info (i.e. architecture, OS version, etc.)
    + OutlookDownloads       - List files downloaded by Outlook
    + PoweredOnEvents        - Reboot and sleep schedule based on the System event log EIDs 1, 12, 13, 42, and 6008. Default of 7 days, argument == last X days.
    + PowerShell             - PowerShell versions and security settings
    + PowerShellEvents       - PowerShell script block logs (4104) with sensitive data.
    + PowerShellHistory      - Searches PowerShell console history files for sensitive regex matches.
      Printers               - Installed Printers (via WMI)
    + ProcessCreationEvents  - Process creation logs (4688) with sensitive data.
      Processes              - Running processes with file info company names that don't contain 'Microsoft', "-full" enumerates all processes
    + ProcessOwners          - Running non-session 0 process list with owners. For remote use.
    + PSSessionSettings      - Enumerates PS Session Settings from the registry
    + PuttyHostKeys          - Saved Putty SSH host keys
    + PuttySessions          - Saved Putty configuration (interesting fields) and SSH host keys
      RDCManFiles            - Windows Remote Desktop Connection Manager settings files
    + RDPSavedConnections    - Saved RDP connections stored in the registry
    + RDPSessions            - Current incoming RDP sessions (argument == computername to enumerate)
    + RDPsettings            - Remote Desktop Server/Client Settings
      RecycleBin             - Items in the Recycle Bin deleted in the last 30 days - only works from a user context!
      reg                    - Registry key values (HKLMSoftware by default) argument == [Path] [intDepth] [Regex] [boolIgnoreErrors]
      RPCMappedEndpoints     - Current RPC endpoints mapped
    + SCCM                   - System Center Configuration Manager (SCCM) settings, if applicable
    + ScheduledTasks         - Scheduled tasks (via WMI) that aren't authored by 'Microsoft', "-full" dumps all Scheduled tasks
      SearchIndex            - Query results from the Windows Search Index, default term of 'passsword'. (argument(s) == <search path> <pattern1,pattern2,...>
      SecPackageCreds        - Obtains credentials from security packages
    + SecureBoot             - Secure Boot configuration
      SecurityPackages       - Enumerates the security packages currently available using EnumerateSecurityPackagesA()
      Services               - Services with file info company names that don't contain 'Microsoft', "-full" dumps all processes
    + SlackDownloads         - Parses any found 'slack-downloads' files
    + SlackPresence          - Checks if interesting Slack files exist
    + SlackWorkspaces        - Parses any found 'slack-workspaces' files
    + SuperPutty             - SuperPutty configuration files
    + Sysmon                 - Sysmon configuration from the registry
    + SysmonEvents           - Sysmon process creation logs (1) with sensitive data.
      TcpConnections         - Current TCP connections and their associated processes and services
      TokenGroups            - The current token's local and domain groups
      TokenPrivileges        - Currently enabled token privileges (e.g. SeDebugPrivilege/etc.)
    + UAC                    - UAC system policies via the registry
      UdpConnections         - Current UDP connections and associated processes and services
      UserRightAssignments   - Configured User Right Assignments (e.g. SeDenyNetworkLogonRight, SeShutdownPrivilege, etc.) argument == computername to enumerate
      WifiProfile            - Enumerates the saved Wifi profiles and extract the ssid, authentication type, cleartext key/passphrase (when possible)
    + WindowsAutoLogon       - Registry autologon information
      WindowsCredentialFiles - Windows credential DPAPI blobs
    + WindowsDefender        - Windows Defender settings (including exclusion locations)
    + WindowsEventForwarding - Windows Event Forwarding (WEF) settings via the registry
    + WindowsFirewall        - Non-standard firewall rules, "-full" dumps all (arguments == allow/deny/tcp/udp/in/out/domain/private/public)
      WindowsVault           - Credentials saved in the Windows Vault (i.e. logins from Internet Explorer and Edge).
    + WMI                    - Runs a specified WMI query
      WMIEventConsumer       - Lists WMI Event Consumers
      WMIEventFilter         - Lists WMI Event Filters
      WMIFilterBinding       - Lists WMI Filter to Consumer Bindings
    + WSUS                   - Windows Server Update Services (WSUS) settings, if applicable


Seatbelt has the following command groups: All, User, System, Slack, Chromium, Remote, Misc

    You can invoke command groups with         "Seatbelt.exe <group>"


    Or command groups except specific commands "Seatbelt.exe <group> -Command"

   "Seatbelt.exe -group=all" runs all commands

   "Seatbelt.exe -group=user" runs the following commands:

        azuread, Certificates, CertificateThumbprints, ChromiumPresence, CloudCredentials, 
        CloudSyncProviders, CredEnum, dir, DpapiMasterKeys, 
        ExplorerMRUs, ExplorerRunCommands, FileZilla, FirefoxPresence, 
        IdleTime, IEFavorites, IETabs, IEUrls, 
        KeePass, MappedDrives, MTPuTTY, OfficeMRUs, 
        OneNote, OracleSQLDeveloper, PowerShellHistory, PuttyHostKeys, 
        PuttySessions, RDCManFiles, RDPSavedConnections, SecPackageCreds, 
        SlackDownloads, SlackPresence, SlackWorkspaces, SuperPutty, 
        TokenGroups, WindowsCredentialFiles, WindowsVault

   "Seatbelt.exe -group=system" runs the following commands:

        AMSIProviders, AntiVirus, AppLocker, ARPTable, AuditPolicies, 
        AuditPolicyRegistry, AutoRuns, Certificates, CertificateThumbprints, 
        CredGuard, DNSCache, DotNet, EnvironmentPath, 
        EnvironmentVariables, Hotfixes, InterestingProcesses, InternetSettings, 
        LAPS, LastShutdown, LocalGPOs, LocalGroups, 
        LocalUsers, LogonSessions, LSASettings, McAfeeConfigs, 
        NamedPipes, NetworkProfiles, NetworkShares, NTLMSettings, 
        OptionalFeatures, OSInfo, PoweredOnEvents, PowerShell, 
        Processes, PSSessionSettings, RDPSessions, RDPsettings, 
        SCCM, SecureBoot, Services, Sysmon, 
        TcpConnections, TokenPrivileges, UAC, UdpConnections, 
        UserRightAssignments, WifiProfile, WindowsAutoLogon, WindowsDefender, 
        WindowsEventForwarding, WindowsFirewall, WMI, WMIEventConsumer, 
        WMIEventFilter, WMIFilterBinding, WSUS

   "Seatbelt.exe -group=slack" runs the following commands:

        SlackDownloads, SlackPresence, SlackWorkspaces

   "Seatbelt.exe -group=chromium" runs the following commands:

        ChromiumBookmarks, ChromiumHistory, ChromiumPresence

   "Seatbelt.exe -group=remote" runs the following commands:

        AMSIProviders, AntiVirus, AuditPolicyRegistry, ChromiumPresence, CloudCredentials, 
        DNSCache, DotNet, DpapiMasterKeys, EnvironmentVariables, 
        ExplicitLogonEvents, ExplorerRunCommands, FileZilla, Hotfixes, 
        InterestingProcesses, KeePass, LastShutdown, LocalGroups, 
        LocalUsers, LogonEvents, LogonSessions, LSASettings, 
        MappedDrives, NetworkProfiles, NetworkShares, NTLMSettings, 
        OptionalFeatures, OSInfo, PoweredOnEvents, PowerShell, 
        ProcessOwners, PSSessionSettings, PuttyHostKeys, PuttySessions, 
        RDPSavedConnections, RDPSessions, RDPsettings, SecureBoot, 
        Sysmon, WindowsDefender, WindowsEventForwarding, WindowsFirewall
        

   "Seatbelt.exe -group=misc" runs the following commands:

        ChromiumBookmarks, ChromiumHistory, ExplicitLogonEvents, FileInfo, FirefoxHistory, 
        InstalledProducts, InterestingFiles, LogonEvents, LOLBAS, 
        McAfeeSiteList, MicrosoftUpdates, OutlookDownloads, PowerShellEvents, 
        Printers, ProcessCreationEvents, ProcessOwners, RecycleBin, 
        reg, RPCMappedEndpoints, ScheduledTasks, SearchIndex, 
        SecurityPackages, SysmonEvents


Examples:
    'Seatbelt.exe <Command> [Command2] ...' will run one or more specified checks only
    'Seatbelt.exe <Command> -full' will return complete results for a command without any filtering.
    'Seatbelt.exe "<Command> [argument]"' will pass an argument to a command that supports it (note the quotes).
    'Seatbelt.exe -group=all' will run ALL enumeration checks, can be combined with "-full".
    'Seatbelt.exe -group=all -AuditPolicies' will run all enumeration checks EXCEPT AuditPolicies, can be combined with "-full".
    'Seatbelt.exe <Command> -computername=COMPUTER.DOMAIN.COM [-username=DOMAINUSER -password=PASSWORD]' will run an applicable check remotely
    'Seatbelt.exe -group=remote -computername=COMPUTER.DOMAIN.COM [-username=DOMAINUSER -password=PASSWORD]' will run remote specific checks
    'Seatbelt.exe -group=system -outputfile="C:Tempout.txt"' will run system checks and output to a .txt file.
    'Seatbelt.exe -group=user -q -outputfile="C:Tempout.json"' will run in quiet mode with user checks and output to a .json file.

Catatan: penelusuran yang menargetkan pengguna akan dijalankan untuk pengguna saat ini jika tidak ditinggikan dan untuk SEMUA pengguna jika ditinggikan.

Kelompok Komando

Catatan: banyak perintah melakukan beberapa jenis pemfilteran secara default. Memberikan argumen -full mencegah pemfilteran keluaran. Selain itu, grup perintah all akan menjalankan semua pemeriksaan saat ini.

Misalnya, perintah berikut akan menjalankan SEMUA pemeriksaan dan mengembalikan SEMUA output:

Seatbelt.exe -group=all -full

sistem

Berjalan memeriksa data menarik saya tentang sistem.

Dieksekusi dengan: Seatbelt.exe -group=system

Memerintah Keterangan
Penyedia AMSI Penyedia terdaftar untuk AMSI
Anti Virus Antivirus terdaftar (melalui WMI)
Pengunci Aplikasi Pengaturan AppLocker, jika diinstal
Tabel ARP Mencantumkan tabel ARP saat ini dan informasi adaptor (setara dengan arp -a)
Kebijakan Audit Menghitung pengaturan kebijakan audit klasik dan lanjutan
Registri Kebijakan Audit Pengaturan audit melalui registri
Jalan Otomatis Jalankan secara otomatis executable/skrip/program
Sertifikat File sertifikat pribadi pengguna dan mesin
SertifikatSidik Jari Sidik jari untuk semua sertifikat penyimpanan sertifikat di sistem
Penjaga Kredit Konfigurasi CredentialGuard
DNSCache Entri cache DNS (melalui WMI)
jaringan titik Versi DotNet
Jalur Lingkungan Folder %PATH$ lingkungan saat ini dan informasi SDDL
Variabel Lingkungan Variabel lingkungan pengguna saat ini
Perbaikan terbaru Perbaikan terbaru yang diinstal (melalui WMI)
Proses Menarik Proses yang "menarik" - produk defensif dan alat admin
Pengaturan Internet Pengaturan internet termasuk konfigurasi proxy
putaran Pengaturan LAPS, jika diinstal
Shutdown Terakhir Mengembalikan DateTime dari penutupan sistem terakhir (melalui registri)
GPO Lokal Pengaturan Kebijakan Grup Lokal diterapkan pada mesin/pengguna lokal
Grup Lokal Grup lokal tidak kosong, "penuh" menampilkan semua grup (argumen == nama komputer untuk dihitung)
Pengguna Lokal Pengguna lokal, baik aktif/nonaktif, dan pwd set terakhir (argumen == nama komputer untuk dihitung)
Sesi Masuk Peristiwa logon (ID Peristiwa 4624) dari log peristiwa keamanan. Default 10 hari, argumen == X hari terakhir.
Pengaturan LSA Pengaturan LSA (termasuk paket autentikasi)
McAfeeConfigs Menemukan file konfigurasi McAfee
BernamaPipa Nama pipa yang diberi nama dan informasi ACL yang dapat dibaca
Profil Jaringan Profil jaringan Windows
Berbagi Jaringan Berbagi jaringan diekspos oleh mesin (melalui WMI)
Pengaturan NTLMS Pengaturan otentikasi NTLM
Fitur Opsional TODO
Info OS Info dasar OS (yaitu arsitektur, versi OS, dll.)
PoweredOnEvents Jadwal reboot dan tidur berdasarkan log peristiwa Sistem EID 1, 12, 13, 42, dan 6008. Default 7 hari, argumen == X hari terakhir.
PowerShell Versi PowerShell dan pengaturan keamanan
Proses Menjalankan proses dengan nama perusahaan info file yang tidak mengandung 'Microsoft', "penuh" menghitung semua proses
Pengaturan PSSesi Menghitung Pengaturan Sesi PS dari registri
Sesi RDP Sesi RDP masuk saat ini (argumen == nama komputer untuk dihitung)
Pengaturan RDP Pengaturan Server/Klien Desktop Jarak Jauh
SCCM Pengaturan Manajer Konfigurasi Pusat Sistem (SCCM), jika berlaku
Layanan Layanan dengan nama perusahaan info file yang tidak mengandung 'Microsoft', "penuh" membuang semua proses
Sysmon Konfigurasi Sysmon dari registri
Koneksi Tcp Koneksi TCP saat ini serta proses dan layanan terkait
Hak Istimewa Token Hak istimewa token yang saat ini diaktifkan (misalnya SeDebugPrivilege/dll.)
UAC Kebijakan sistem UAC melalui registri
Koneksi Udp Koneksi UDP saat ini serta proses dan layanan terkait
Penugasan Hak Pengguna Penetapan Hak Pengguna yang Dikonfigurasi (misalnya SeDenyNetworkLogonRight, SeShutdownPrivilege, dll.) argumen == nama komputer untuk dihitung
Profil Wifi TODO
WindowsAutoLogon Informasi autologon registri
Pembela Windows Pengaturan Windows Defender (termasuk lokasi pengecualian)
Penerusan Acara Windows Pengaturan Windows Event Forwarding (WEF) melalui registri
WindowsFirewall Aturan firewall non-standar, "penuh" membuang semua (argumen == izinkan/tolak/tcp/udp/in/out/domain/private/publik)
WMIEventConsumer Daftar Konsumen Acara WMI
Filter Acara WMI Mencantumkan Filter Peristiwa WMI
Pengikatan Filter WMI Mencantumkan Filter WMI ke Ikatan Konsumen
WSUS Pengaturan Layanan Pembaruan Server Windows (WSUS), jika berlaku

pengguna

Berjalan memeriksa apakah saya memiliki data menarik tentang pengguna yang saat ini masuk (jika tidak ditinggikan) atau SEMUA pengguna (jika ditinggikan).

Dieksekusi dengan: Seatbelt.exe -group=user

Memerintah Keterangan
Sertifikat File sertifikat pribadi pengguna dan mesin
SertifikatSidik Jari Sidik jari untuk semua sertifikat penyimpanan sertifikat di sistem
Kehadiran Chromium Memeriksa apakah ada file Chrome/Edge/Brave/Opera yang menarik
Kredensial Cloud File kredensial cloud AWS/Google/Azure
Penyedia CloudSync TODO
KreditEnum Menghitung kredensial tersimpan pengguna saat ini menggunakan CredEnumerate()
dir Daftar file/folder. Secara default, mencantumkan unduhan pengguna, dokumen, dan folder desktop (argumen == <direktori> <kedalaman> <regex>
DpapiMasterKeys Daftar kunci master DPAPI
Dsregcmd TODO
ExplorerMRU File yang terakhir digunakan Explorer (7 hari terakhir, argumen == X hari terakhir)
ExplorerRunCommands Perintah "jalankan" Explorer terbaru
FileZilla File konfigurasi FileZilla
Kehadiran Firefox Memeriksa apakah ada file Firefox yang menarik
Waktu Menganggur Mengembalikan jumlah detik sejak input terakhir pengguna saat ini.
Favorit IE Favorit Internet Explorer
IETab Buka tab Internet Explorer
IEUrls URL yang diketik Internet Explorer (7 hari terakhir, argumen == X hari terakhir)
KeePass TODO
Drive yang Dipetakan Drive pengguna yang dipetakan (melalui WMI)
OfficeMRU Daftar file Office yang terakhir digunakan (7 hari terakhir)
Satu Catatan TODO
Pengembang OracleSQLD TODO
Sejarah PowerShell Iterasi setiap pengguna lokal dan upaya membaca riwayat konsol PowerShell mereka jika berhasil akan mencetaknya
PuttyHostKeys Kunci host SSH Putty yang disimpan
Sesi Dempul Konfigurasi Putty tersimpan (bidang menarik) dan kunci host SSH
File RDCMan File pengaturan Windows Remote Desktop Connection Manager
Koneksi Tersimpan RDP Koneksi RDP yang disimpan disimpan di registri
Kredit Paket Sec Mendapatkan kredensial dari paket keamanan
Unduhan Slack Parsing file 'slack-downloads' yang ditemukan
Kehadiran Slack Memeriksa apakah ada file Slack yang menarik
Ruang Kerja Slack Parsing semua file 'slack-workspaces' yang ditemukan
Super Putty File konfigurasi SuperPutty
Grup Token Grup lokal dan domain token saat ini
File Kredensial Windows Gumpalan DPAPI kredensial Windows
WindowsVault Kredensial disimpan di Windows Vault (yaitu login dari Internet Explorer dan Edge).

lain-lain

Menjalankan semua pemeriksaan lain-lain.

Dieksekusi dengan: Seatbelt.exe -group=misc

Memerintah Keterangan
Bookmark Chromium Parsing semua file bookmark Chrome/Edge/Brave/Opera yang ditemukan
Sejarah Kromium Parsing semua file riwayat Chrome/Edge/Brave/Opera yang ditemukan
AcaraLogon Eksplisit Peristiwa Logon Eksplisit (ID Peristiwa 4648) dari log peristiwa keamanan. Default 7 hari, argumen == X hari terakhir.
Info File Informasi tentang file (informasi versi, stempel waktu, info PE dasar, dll. argumen == jalur file
FirefoxSejarah Parsing semua file riwayat FireFox yang ditemukan
Produk Terpasang Produk yang diinstal melalui registri
File Menarik File "menarik" yang cocok dengan berbagai pola di folder pengguna. Catatan: membutuhkan waktu yang tidak sepele.
Acara Masuk Peristiwa logon (ID Peristiwa 4624) dari log peristiwa keamanan. Default 10 hari, argumen == X hari terakhir.
LOLBA Menemukan Biner dan Skrip Living Off The Land (LOLBAS) pada sistem. Catatan: membutuhkan waktu yang tidak sepele.
Daftar Situs McAfee Dekripsi file konfigurasi McAfee SiteList.xml yang ditemukan.
Pembaruan Microsoft Semua pembaruan Microsoft (melalui COM)
Unduhan Outlook Daftar file yang diunduh oleh Outlook
Acara PowerShell Log blok skrip PowerShell (4104) dengan data sensitif.
pencetak Printer Terpasang (melalui WMI)
Proses Penciptaan Acara Log pembuatan proses (4688) dengan data sensitif.
Pemilik Proses Menjalankan daftar proses non-sesi 0 dengan pemilik. Untuk penggunaan jarak jauh.
Tempat Sampah Item di Recycle Bin dihapus dalam 30 hari terakhir - hanya berfungsi dari konteks pengguna!
Reg Nilai kunci registri (HKLMSoftware secara default) argumen == [Path] [intDepth] [Regex] [boolIgnoreErrors]
Titik Akhir yang Dipetakan RPC Titik akhir RPC saat ini dipetakan
Tugas Terjadwal Tugas terjadwal (melalui WMI) yang tidak dibuat oleh 'Microsoft', "penuh" membuang semua tugas terjadwal
Indeks Pencarian Hasil kueri dari Indeks Pencarian Windows, istilah default 'kata sandi'. (argumen) == <jalur pencarian> <pola1,pola2,...>
Paket Keamanan Menghitung paket keamanan yang saat ini tersedia menggunakan EnumerateSecurityPackagesA()
Acara Sysmon Log pembuatan proses Sysmon (1) dengan data sensitif.

Grup Komando Tambahan

Dieksekusi dengan: Seatbelt.exe -group=GROUPNAME

Alias Keterangan
Kendur Menjalankan modul yang dimulai dengan "Slack*"
Kromium Menjalankan modul yang dimulai dengan "Chromium*"
Terpencil Menjalankan modul berikut (untuk digunakan terhadap sistem jarak jauh): AMSIProviders, AntiVirus, AuditPolicyRegistry, ChromiumPresence, CloudCredentials, DNSCache, DotNet, DpapiMasterKeys, EnvironmentVariables, ExplicitLogonEvents, ExplorerRunCommands, FileZilla, Hotfixes, InterestingProcesses, KeePass, LastShutdown, LocalGroups, LocalUsers, LogonEvents, LogonSessions, LSASettings, MappedDrives, NetworkProfiles, NetworkShares, NTLMSettings, OptionalFeatures, OSInfo, PoweredOnEvents, PowerShell, ProcessOwners, PSSessionSettings, PuttyHostKeys, PuttySessions, RDPSavedConnections, RDPSessions, RDPsettings, Sysmon, WindowsDefender, WindowsEventForwarding, WindowsFirewall

Argumen Perintah

Perintah yang menerima argumen telah dicatat dalam deskripsinya. Untuk meneruskan argumen ke suatu perintah, sertakan perintah dan argumen dalam tanda kutip ganda.

Misalnya, perintah berikut mengembalikan 4624 peristiwa logon selama 30 hari terakhir:

Seatbelt.exe "LogonEvents 30"

Perintah berikut menanyakan registri sedalam tiga tingkat, hanya mengembalikan kunci/nilaiNama/nilai yang cocok dengan regex .*defini.* , dan mengabaikan kesalahan apa pun yang terjadi.

Seatbelt.exe "reg "HKLMSOFTWAREMicrosoftWindows Defender" 3 .*defini.* true"

Keluaran

Seatbelt dapat mengarahkan outputnya ke file dengan argumen -outputfile="C:Pathfile.txt" . Jika jalur file diakhiri dengan .json, outputnya akan terstruktur json.

Misalnya, perintah berikut akan menampilkan hasil pemeriksaan sistem ke file txt:

Seatbelt.exe -group=system -outputfile="C:Tempsystem.txt"

Pencacahan Jarak Jauh

Perintah yang ditandai dengan tanda + di menu bantuan dapat dijalankan dari jarak jauh terhadap sistem lain. Hal ini dilakukan melalui WMI melalui kueri untuk kelas WMI dan StdRegProv WMI untuk enumerasi registri.

Untuk menghitung sistem jarak jauh, berikan -computername=COMPUTER.DOMAIN.COM - nama pengguna dan kata sandi alternatif dapat ditentukan dengan -username=DOMAINUSER -password=PASSWORD

Misalnya, perintah berikut menjalankan pemeriksaan yang berfokus pada jarak jauh terhadap sistem jarak jauh:

Seatbelt.exe -group=remote -computername=192.168.230.209 -username=THESHIREsam -password="yum "po-ta-toes""

Membangun Modul Anda Sendiri

Struktur sabuk pengaman sepenuhnya modular, memungkinkan modul perintah tambahan dimasukkan ke dalam struktur file dan dimuat secara dinamis.

Ada templat modul perintah yang dikomentari di .SeatbeltCommandsTemplate.cs untuk referensi. Setelah dibuat, letakkan modul di lokasi file logis, sertakan dalam proyek di Visual Studio Solution Explorer, dan kompilasi.

Instruksi Kompilasi

Kami tidak berencana merilis biner untuk Seatbelt, jadi Anda harus mengkompilasinya sendiri.

Sabuk pengaman telah dibuat dengan .NET 3.5 dan 4.0 dengan fitur C# 8.0 dan kompatibel dengan Visual Studio Community Edition. Cukup buka proyek .sln, pilih "rilis", dan bangun. Untuk mengubah versi kerangka .NET target, ubah pengaturan proyek dan bangun ulang proyek.

Ucapan Terima Kasih

Sabuk pengaman menggabungkan berbagai item koleksi, cuplikan kode C#, dan potongan PoC yang ditemukan selama penelitian untuk mengetahui kemampuannya. Ide, cuplikan, dan penulis ini disorot di lokasi yang sesuai di kode sumber, dan mencakup:

  • Skrip HostEnum.ps1 @andrewchiles dan Get-HostProfile.ps1 @tifkin_ memberikan inspirasi bagi banyak artefak untuk dikumpulkan.
  • Kode Boboes tentang NetLocalGroupGetMembers
  • kode ambyte untuk mengonversi huruf drive yang dipetakan ke jalur jaringan
  • Kode Igor Korkhov untuk mengambil informasi grup token saat ini
  • Cuplikan RobSiklos untuk menentukan apakah suatu host adalah mesin virtual
  • Cuplikan JGU pada perbandingan kanan file/folder ACL
  • Pola Rod Stephens untuk enumerasi file rekursif
  • Cuplikan SwDevMan81 untuk menghitung hak istimewa token saat ini
  • PowerShell Jared Atkinson berfungsi pada cache tiket Kerberos
  • cuplikan Kerberos C# darkmatter08
  • Banyak sampel PINvoke.net <3
  • CodeProject Jared Hill yang luar biasa menggunakan Otoritas Keamanan Lokal untuk Menghitung Sesi Pengguna
  • Kode Fred untuk menanyakan cache ARP
  • Cuplikan ShuggyCoUk tentang menanyakan tabel koneksi TCP
  • contoh yizhang82 menggunakan refleksi untuk berinteraksi dengan objek COM melalui C#
  • Proyek SharpWeb @djhohnstein
  • Proyek EventLogParser @djhohnstein
  • Proyek SharpCloud @cmaddalena, Klausul 3 BSD
  • Proyek Watson @_RastaMouse, Lisensi GPL
  • @_RastaMouse Bekerja pada enumerasi AppLocker
  • Proyek Invoke-WCMDump @ peewpw, Lisensi GPL
  • Proyek HoneyBadger TrustedSec, BSD 3-Clause
  • Proyek Penetapan Hak Pengguna Audit CENTRAL Solutions, Tanpa lisensi
  • Ide koleksi terinspirasi dari Reconerator @ukstufus
  • Lokasi Office MRU dan informasi penguraian stempel waktu dari makalah Dustin Hurlbut Microsoft Office 2007, 2010 - Artefak Registri
  • Daftar Perintah Windows, digunakan untuk konstruksi regex sensitif
  • Kode Ryan Ries untuk enumerasi memetakan titik akhir RPC
  • Postingan Chris Haas di EnumerateSecurityPackages()
  • pekerjaan darkoperator pada proyek HoneyBadger
  • Pekerjaan @ airzero24 pada enumerasi Registri WMI
  • Jawaban Alexandru tentang alternatif RegistryKey.OpenBaseKey
  • Postingan Tomas Vera di JavaScriptSerializer
  • Catatan Marc Gravell tentang daftar file/folder secara rekursif
  • Pengurai aturan Sysmon @mattifestation
  • Beberapa inspirasi dari proyek Simple.CredentialsManager spolnik, lisensi Apache 2
  • Posting ini tentang pengaturan Penjaga Kredensial
  • Thread ini tentang informasi profil jaringan
  • Tandai postingan McKinnon tentang mendekode nilai SSID DateCreated dan DateLastConnected
  • Posting Specops ini tentang cache kebijakan grup
  • posting StackOverflow sa_ddam213 tentang menghitung item di Recycle Bin
  • Kode Kirill Osenkov untuk deteksi perakitan terkelola
  • Proyek Mono untuk kelas SecBuffer/SecBufferDesc
  • Elad Shamir dan proyek Internal-Monolognya, Vincent Le Toux untuk proyek DetectPasswordViaNTLMInFlow miliknya, dan Lee Christensen untuk proyek GetNTLMChallenge ini. Semua ini menjadi inspirasi dalam perintah SecPackageCreds.
  • @leftp dan proyek Gopher @eksperience untuk inspirasi perintah FileZilla dan SuperPutty
  • @funoverip untuk kode dekripsi McAfee SiteList.xml asli

Kami telah mencoba melakukan uji tuntas untuk kutipan, namun jika kami melewatkan seseorang/sesuatu, harap beri tahu kami!

Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua