PowerShell es muy potente porque permite ejecutar .Net y código dinámico desde otro sistema (también en Internet) y ejecutarlo en memoria sin tocar el disco. Eso hace que usarlo sea uno de los métodos preferidos para ganar y mantener el acceso a sistemas Windows. Sin embargo la versión 5 ya mejora la seguridad y cuando se ejecuta en Windows 10 las capacidades de ataque disminuyen.

No obstante, todavía Powershell sigue siendo un arma muy útil en cuanto no se suele bloquear su uso (como se hace por ej. con cmd.exe), no se monitoriza y muchos productos de seguridad de puesto de usuario ni siquiera revisan su actividad. Además existen algunos toolkits de ataque en Powershell que facilitan mucho la vida a los pentesters (buenos y malos):

PowerSploit

Descripción: Un Framework de Post-Exploitation en powershell usado por muchas herramientas de ataque.
Uso: Recon, escalado de privilegios, robo de credentiales, persistencia.
Autores: Matt Graeber (@Mattifestation) & Chris Campbell (@obscuresec)
Cmdlets populares:

• Invoke-DllInjection.ps1
• Invoke-Shellcode.ps1
• Invoke-WmiCommand.ps1
• Get-GPPPassword.ps1
• Get-Keystrokes.ps1
• Get-TimedScreenshot.ps1
• Get-VaultCredential.ps1
• Invoke-CredentialInjection.ps1
• Invoke-Mimikatz.ps1
• Invoke-NinjaCopy.ps1
• Invoke-TokenManipulation.ps1
• Out-Minidump.ps1
• VolumeShadowCopyTools.ps1
• Invoke-ReflectivePEInjection.ps1

Invoke-Mimikatz

Características: Ejecución de Mimikatz desde PowerShell, robo de credendiales e inyección, creación de tickets Kerberos y más
Uso: robo y reutilización de credenciales, Persistencia
Autor: Joseph Bialek (@clymb3r)

PowerView

Descripción: Herramienta de enumeración del DA escrita puramente en PowerShell. Ahora forma parte de PowerSploit.
Uso: Recon
Autor: Will Harmjoy (@HarmJ0y)
Cmdlets populares:

• Get-NetUser
• Get-NetGroup
• Get-NetGroupMember
• Get-NetLocalGroup
• Get-NetSession
• Invoke-UserHunter
• Get-NetOU
• Find-GPOLocation
• Get-NetGPOGroup
• Get-ObjectACL
• Add-ObjectACL
• Invoke-ACLScanner
• Set-ADObject
• Invoke-DowngradeAccount
• Get-NetForest
• Get-NetForestTrust
• Get-NetForestDomain
• Get-NetDomainTrust
• Get-MapDomainTrust

PowerUp

Descripción: Identifica métodos para el escalado de privilegios local.
Es parte de PowerShell Empire.
Uso: Escalado de privilegios.
Autor: Will Harmjoy (@harmj0y)
Cmdlets populares:

• Get-ServiceUnquoted
• Get-ServiceFilePermission
• Get-ServicePermission
• Invoke-ServiceAbuse
• Install-ServiceBinary
• Get-RegAutoLogon
• Get-VulnAutoRun
• Get-VulnSchTask
• Get-UnattendedInstallFile
• Get-WebConfig
• Get-ApplicationHost
• Get-RegAlwaysInstallElevated

Nishang

Descripción: PowerShell para tests de intrusión y seguridad ofensiva.
Uso: Recon, Robo de credenciales, escalado de privilegios, persistencia
Autor: Nikhil Mitt (@nikhil_mitt)
Cmdlets populares:

• Get-Unconstrained
• Add-RegBackdoor
• Add-ScrnSaveBackdoor
• Gupt-Backdoor
• Invoke-ADSBackdoor
• Enabled-DuplicateToken
• Invoke-PsUaCme
• Remove-Update
• Check-VM
• Copy-VSS
• Get-Information
• Get-LSASecret
• Get-PassHashes
• Invoke-Mimikatz
• Show-TargetScreen
• Port-Scan
• Invoke-PoshRatHttp
• Invoke-PowerShellTCP
• Invoke-PowerShellWMI
• Add-Exfiltration
• Add-Persistence
• Do-Exfiltration
• Start-CaptureServer

PowerShell Empire

Descripción: integra módulos que permiten la explotación inicial, Recon, robo y reutilización de credenciales, persistencia. Además incluye RAT en powershell, servidor en Python y cifra con AES los canales C2.
Autores: Will Schroeder (@harmj0y) & Justin Warner (@sixdub) & Matt Nelson (@enigma0x3)
Módulos:

• Code Execution
• Collection
• Credentials
• Exfiltration
• Exploitation
• Lateral Movement
• Management
• Persistence
• Privilege Escalation
• Recon
• Situational Awareness
• Fun & Trollsploit

Cmdlets:

• Invoke-DllInjection
• Invoke-ReflectivePEInjection
• Invoke-ShellCode
• Get-ChromeDump
• Get-ClipboardContents
• Get-FoxDump
• Get-IndexedItem
• Get-Keystrokes
• Get-Screenshot
• Invoke-Inveigh
• Invoke-NetRipper
• Invoke-NinjaCopy
• Out-Minidump
• Invoke-EgressCheck
• Invoke-PostExfil
• Invoke-PSInject
• Invoke-RunAs
• MailRaider
• New-HoneyHash
• Set-MacAttribute
• Get-VaultCredential
• Invoke-DCSync
• Invoke-Mimikatz
• Invoke-PowerDump
• Invoke-TokenManipulation
• Exploit-Jboss
• Invoke-ThunderStruck
• Invoke-VoiceTroll
• Set-Wallpaper
• Invoke-InveighRelay
• Invoke-PsExec
• Invoke-SSHCommand
• Get-SecurityPackages
• Install-SSP
• Invoke-BackdoorLNK
• PowerBreach
• Get-GPPPassword
• Get-SiteListPassword
• Get-System
• Invoke-BypassUAC
• Invoke-Tater
• Invoke-WScriptBypassUAC
• PowerUp
• PowerView
• Get-RickAstley
• Find-Fruit
• HTTP-Login
• Find-TrustedDocuments
• Get-ComputerDetails
• Get-SystemDNSServer
• Invoke-Paranoia
• Invoke-WinEnum
• Get-SPN
• Invoke-ARPScan
• Invoke-PortScan
• Invoke-ReverseDNSLookup
• Invoke-SMBScanner

PS>Attack

Descripción: PS>Attack es una consola portable que incluye muchas herramientas ofensivas que llaman a PowerShell (System.Management.Automation.dll) a través de .Net. Además las herramientas son cifradas (evasión AV) y descifradas en memoria en tiempo de ejecución.
Autor: Jared Haight (@jaredhaight)
Ḿódulos:

• Powersploit
  • Invoke-Mimikatz
  • Get-GPPPassword
  • Invoke-NinjaCopy
  • Invoke-Shellcode
  • Invoke-WMICommand
  • VolumeShadowCopyTools
• PowerTools
  • PowerUp
  • PowerView
• Nishang
  • Gupt-Backdoor
  • Do-Exfiltration
  • DNS-TXT-Pwnage
  • Get-Infromation
  • Get-WLAN-Keys
  • Invoke-PsUACme
• Powercat
• Inveigh

Fuente: https://adsecurity.org/?p=2921
Más sobre powershell (incluyendo herramientas adicionales) en el blog: http://www.hackplayers.com/search/label/powershell
Via: www.hackplayers.com