【技术分享】Windows环境渗透技巧之PowerShell Payl_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

【技术分享】Windows环境渗透技巧之PowerShell Payl

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


【技术分享】Windows环境渗透技巧之PowerShell Payl

在Windows环境的集群智慧云安服渗透测试过程中,PowerShell对于攻击者来说是绝佳的后期利用工具。在内部测试过程中,像PowerSploit和PowerShell Empire这类工具能帮不少忙。但问题是,Windows系统默认打开了限制执行策略,这就造成在执行ps1脚本时出现问题。如果没有拿到admin权限,这就意味着你基本上只能执行一句话的PowerShell命令,命令长度有限制(cmd.exe中最长为8191个字符)。 绕过这种限制的一个方案是,想办法拿到目标主机的admin权限,然后通过`Set-ExecutionPolicy`命令解除PowerShell脚本执行限制。这是一个全局设置项,所以用完了别忘了给改回来。 另一个很棒的技巧是编写一个简单的命令进行“表达式求值”(evaluates expression),然后有效地在内存中执行它。无论ps1脚本多大,您都可以执行整个脚本。下面是一个一句话下载powercat代码并执行的例子: 执行策略不适用于单行PowerShell脚本。我们还可以更进一步,从文件读取数据内容,执行它并运行我们的Payload。但为什么不能将这一过程自动化呢?对我来说,我正在寻找一种很轻松地在多台Windows机器上远程执行Invoke-Mimikatz.ps1脚本的方式。通过这种方式,可以免去这一系列繁琐的操作:通过`smbclient`上传脚本,运行`psexec`禁用执行策略,运行脚本本身,最后还要还原执行限制。 这个想法很简单。我们通过单个bat文件传递我们的Payload。PowerShell脚本被base64编码,并放置在bat脚本的注释中。注释之后是一个简单的一句话命令:读取相同的文件,解码我们的Payload并运行它。你可以使用python脚本将您喜爱的PowerShell脚本快速转换为bat文件。重申一次,执行策略并不重要,因为你只是执行了一个单行PowerShell命令。 生成的文件如下所示: 现在我们可以使用“-c”参数将此文件传递给psexec.py,并获取结果。现在,远程mimikatz就是一句话命令了,如果您想在目标域中大量收集凭据,则完全可以将其编写成脚本:) 更多mimikatz神技 - 在一个工作站上的启用多个RDP连接: 你可以在这里找到这个脚本 :https://github.com/artkond/bat-armor 本文转自:安全客

【技术分享】Windows环境渗透技巧之PowerShell Payl