许多工具都是用PowerShell编写的,特别是对于红队团队的活动,因为大多数现代Windows都有PowerShell,而且管理员通常不会限制普通用户访问PowerShell控制台。这给攻击者带来了很大的好处,特别是如果蓝色团队不监视PowerShell使用情况。
来自Nettitude Labs和Dave Hardy的Ben Turner创建了一个基于PowerShell和C#的命令和控制工具。该工具为红队操作提供了许多优势,因为它包含各种植入物和技术。它易于使用,因为帮助菜单提供了有关PoshC2功能的所有详细信息。
安装此工具很简单:
PoshC2提供加密通信,可以通过八个步骤轻松配置:
一旦配置了PoshC2,它将提供一个技术列表,渗透测试人员可以使用这些技术绕过AppLocker,Bit9,或者只是通过PowerShell在目标主机上下载植入。
PoshC2还将生成许多可在红队评估期间使用的有效负载。
当通过所生成的方法之一下载植入物并在目标上运行时,植入物处理器控制台将打开以便与植入物相互作用并在目标上执行命令。
它与PowerShell会话相同,因此它接受可以在帮助菜单中找到的任何PowerShell命令或PoshC2命令:
但是,PoshC2植入包含各种其他功能,可用于提取信息,执行权限提升或收集凭据以及检索有关域的信息。一些植入物功能如下所示:
此工具还有一个图形用户界面,它需要.NET Framework版本4.03019,并且此工具的输出可以保存为HTML文件。
结论
PoshC2的主要好处是它使用PowerShell,因此它对植入物没有任何依赖性,就像用python编写的其他命令和控制工具一样。此外,它具有快速,可靠和易于使用的详细输出。绝对是任何红队运作的工具之一。
参考
- https://labs.nettitude.com/blog/poshc2-new-features/
- https://labs.nettitude.com/blog/release-of-nettitudes-poshc2/
- https://labs.nettitude.com/tools/poshc2/
- https://github.com/nettitude/PoshC2