横向移动检测之远程执行(五)PowerShell

最新推荐文章于 2024-04-16 10:24:04 发布
最新推荐文章于 2024-04-16 10:24:04 发布
阅读量2.6k 收藏 6
点赞数
分类专栏: Threat Hunting
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27828281/article/details/103542538
版权
本文详细介绍了如何通过PowerShell进行横向移动,包括介绍、PowerShell的源(事件日志、注册表、文件系统)和目的(事件日志、注册表、文件系统)的分析方法。通过分析事件日志、注册表项和文件系统记录,可以追踪攻击者的PowerShell远程执行行为,例如恶意程序执行、会话创建和关闭等。
摘要由CSDN通过智能技术生成

横向移动检测之远程执行—PowerShell

1.1 介绍

 在横向移动过程,攻击者可能会利用PowerShell,通过远程执行命令进行横向移动。在Windows平台,客户端使用powershell.exe,服务端会使用wsmprovhost.exe来创建子进程执行客户端请求的命令。PowerShell命令的基本格式如下:

Enter-PSSession –ComputerName host
Invoke-Command –ComputerName host –ScriptBlock {Start-Process c:\temp\evil.exe}

 通过对源和目的主机的事件日志,注册表,文件系统进行分析,可以获得源主机运行程序powershell.exe的时间,连接的目标主机的IP地址等信息,从目标主机,可获得源主机的IP地址,连接时间,恶意程序执行时间等信息。
环境:
目标为192.168.49.144,在目标上使用powershell远程执行C:\windows\temp\evil.exe。
源设置

Enable-PSRemoting -Force

在这里插入图片描述
出现如下错误,须将目标主机(victim)加入TrustHost:
在这里插入图片描述
命令如下:

Set-Item WSMan:\localhost\Client\TrustedHosts -value "192.168.49.144"
Get-Item WSMan:\localhost\Client\TrustedHosts

在这里插入图片描述
目的主机设置:

Enable-PSRemoting -Force
winrm quickconfig

在这里插入图片描述
设置完成后,进行测试,输入目标主机凭据:
在这里插入图片描述
成功登录目标主机:
在这里插入图片描述
在目标主机执行命令:
在这里插入图片描述
在这里插入图片描述
分析环境
在目标主机执行evil.exe:
在这里插入图片描述
在这里插入图片描述</

最低0.47元/天 解锁文章
h8x0r
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第一百零八课:跨平台横向移动 [wmi利用]1
08-03
这种结合使得攻击者可以通过Powershell脚本来实现更复杂的横向移动,包括下载远程payload、执行命令等。 【外部WMI工具】 除了WMIC,还有许多第三方工具可以简化WMI的利用,如Cobalt Strike和Metasploit Framework...
PowerShell 远程执行任务的方法和步骤
a1014825552的博客
07-17 716
PowerShell 远程执行任务的方法步骤 1. 查看WinRM服务 Get-Service WinRM 如果为关闭状态,以管理员权限启动PowerShell窗口,执行命令: Enable-PSRemoting –Force 如果计算机已经加入了服务器相同的域,那么上面的配置就可以了。对于没有加入域的计算机还需要进行信任设置,远程服务器也执行相同的命令,然后重启 WinRM 服务: Set-Item wsman:\localhost\client\trustedhosts * Restart-Serv
Windows7系统wsmprovhost.exe文件丢失的问题
amio555的专栏
12-09 877
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wsmprovhost.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wsmprovhost.exe丢失要怎么解决?
深入挖掘红队实战中WinRM的使用技巧
chennqqi的专栏
11-17 200
大家好!这里是219攻防实验室!你一定没有听说过我们,因为我们刚成立不久。219攻防实验室专注于前沿攻防研究、武器平台化、红队评估、攻防演练,虽然我们是新实验室,但我们的成员有深入操作系统多年的老牌程序员、有专注攻防领域10余年的老手、亦有攻防演练中崭露头角的新锐,我们热爱技术热爱分享,就像我们的名字一样,219 “爱依旧”,对技术的爱永远依旧。在红队的内网渗透活动中经常会出现WinRM的身影,众...
wsmprovhost.exe文件丢失导致程序无法运行问题
最新发布
2301_76755223的博客
04-16 359
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wsmprovhost.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wsmprovhost.exe丢失要怎么解决?
深度:CVE-2017-8565分析和利用
weixin_34273481的博客
09-12 289
本文讲的是深度:CVE-2017-8565分析和利用,如果你在最近的更新如KB4025342中看到以下三个关键字,请不要惊慌,… …保持冷静,并阅读新的安全更新指南门户网站上的CVE-2017-8565 是的,CVE-2017-8565于2017年7月11日发布。 来自Hewlett-Packard Enterprise Security的Oleks...
Windows PowerShell3-重要的远程
寒冰屋的专栏
01-23 1172
PowerShell作为Windows系统中的默认脚本,其实在开发中,我们用的很少。接下来的几篇文章都将PowerShell的相关知识,在上一章中我们介绍了PowerShell更多的知识,本章我们将深入了解其远程的相关知识。
SCShell:依靠ChangeServiceConfigA来运行命令的无文件横向移动工具
05-13
壳牌SCShell是无文件横向移动工具,它依赖ChangeServiceConfigA来运行命令。 该工具的优点在于它不会针对SMB执行身份验证。 一切都通过DCERPC执行。 该实用程序可以在不注册服务或创建服务的情况下远程使用。 它也...
DVS:D(COM)V(易损性)S(罐头)又名瑞士军刀-使用DCOM对象的横向运动
03-21
您是否曾经想过如何通过内部网络横向移动?或与远程计算机进行交互而不会提醒EDR?假设我们具有有效的凭据,或者具有对远程计算机的访问权的活动会话,但是我们没有选择以已知的,预期的或高度监视的方法(即WMI,...
PentestingAcademy:Pentesting 学院课程代码
06-19
在渗透测试中,PowerShell 可以用来执行各种任务,包括信息收集、漏洞利用、权限提升、横向移动等。下面将详细探讨 PowerShell 在渗透测试中的应用和相关知识点。 1. **信息收集**:PowerShell 可以通过内置命令...
pentest-tools:一些工具
02-10
PowerShell是由微软开发的一种命令行外壳程序和脚本语言,它允许管理员执行高级任务,如自动化系统管理、远程管理以及网络设备的配置。在安全领域,PowerShell被广泛用于执行隐蔽的恶意活动检测、取证分析和漏洞利用...
02 powershell服务器远程执行命令
BenZ_X的专栏
11-10 662
一、获取服务器登录凭证。
PowerShell高级配置
weixin_34228617的博客
05-06 655
PowerShell高级配置场景:远程执行PowerShell脚本传递PSObject对象,提示从远程客户端计算机接收的数据的当前反序列化对象大小超过允许的最大对象大小。当前反序列化对象大小为10572800,允许的最大对象大小为10485760。如下图:修改远程服务器默认配置限制:Set-PSSessionConfiguration -name Microsoft.powe...
使用Powershell 远程执行
布谷鸟
03-03 3860
使用Powershell 远程执行
java远程执行exe文件,Powershell脚本,用于并行执行远程服务器上的EXE
weixin_29997657的博客
03-10 496
我编写了一个脚本来并行执行远程服务器上的exe . 但是当exe执行时,我收到了一个错误 . 任何人都可以帮我纠正我的剧本吗?ForEach ($Computer in Get-Content C:\servers.txt){#To enable winrm if not already$result = winrm id -r:$computer 2> $nullif ($lastExit...
远程服务器怎么运行exe文件,PowerShell远程安装MSI安装包、EXE执行程序的方法...
weixin_30095833的博客
07-29 1277
尽管对IT管理员或者开发者来讲,这是一个很常见的任务,但是在网上能找到“远程安装一个msi包或者exe应用程序”的相关文档还是比较少的。甚至有人在一些论坛的评论中写道,这不可能实现。事实上还是可以的。我会在本文提供两段代码,分别负责远程安装MSI包和EXE执行应用程序。一、安装MSI包使用PowerShell调用WMI对象,你可以执行下面的脚本来安装你的MSI安装包:复制代码 代码如下:$box...
进程出现*.vshost.exe的进程
Stay hungry,stay foolish
03-26 1652
设置一下就OK了 具体路径是:菜单栏下的 项目-属性-调试-启用调试器,把启用Visual Studio宿主进程这一项取消掉就OK了 各个版本的VS可能说法稍微有点不一样 就大概这个意思吧。 把这个勾选上就可以了!
Linux进程间通讯|管道通讯
安迪西_嵌入式攻城狮
08-31 454
管道通讯
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值