在远程会话中执行时，PowerShell Get-AppVServerPackage的行为有所不同 - 腾讯云开发者社区

文章/答案/技术大牛

发布

CobalStrike 4.0 生成后门几种方式及主机上线后基础操作

脚本，Powershell命令，Ruby,Raw,免杀框架Veli中的shellcode等等… ?...渗透Windows主机过程中，用的比较多的就是Powershell和Powershell Command,主要是因为其方便易用，且可以逃避一下杀毒软件（AV）的查杀。...在⽬标上内存中执⾏本地.NET程序 22. exit 终⽌beacon会话 23. getprivs Enable system privileges on current token 24. getsystem...to spawn a session on a host 57. psinject 在特定进程中执⾏PowerShell命令 58. pth 使⽤Mimikatz进⾏传递哈希 59. pwd 当前⽬录位置...81. ssh-key 使⽤密钥连接远程主机 82. steal_token 从进程中窃取令牌 83. timestomp 将⼀个⽂件的时间戳应⽤到另⼀个⽂件 84. unlink Disconnect

4.1K1 0

11.反恶意软件扫描接口 (AMSI)

在 PowerShell 命令提示符中，任何提供的内容将首先发送到 AmsiScanBuffer()，然后再执行。...6.杀毒软件拿到数据后判断宏是否为恶意的。 6.如果行为是无恶意的,那么宏可以执行。否则,关闭宏会话并发出响应警报和处理恶意文件。...我们可以看一个例子来理解amsi检测查杀vba的流程：跟powershell一样我们也使用远程加载powershell恶意代码。这样更贴近实战。...该协议允许 VBA 运行时向反病毒系统报告它即将执行的某些高风险代码行为，并允许反病毒在观察到的行为序列表明可能存在恶意活动时向进程报告，以便 Office应用程序可以采取适当的行动。...2.使用宏远程加载我们的恶意代码 #使用宏调用powershell远程加载ps1 Sub AutoOpen() Call Shell("powershell -Sta -Nop -Window

5.8K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

Powershell

它包含11一系列可以在 PowerShell 环境中执行的命令和函数。通过 .ps1 脚本，你可以自动化各种任务，从简单的文件管理到复杂的系统配置。...管道管道允许你将一个命令的输出直接传递给下一个命令作为输入。这种机制使得数据处理变得更加高效和简洁。符号：在PowerShell中，管道由竖线符号（|）表示。...数据流：管道将前一个命令的输出传递给下一个命令的输入。对象传递：与传统的命令行不同，PowerShell管道传递的是对象而不是文本。这意味着可以在管道中处理复杂的数据结构。...Unrestricted：运行所有脚本，但下载的脚本在首次运行时会有警告。 Bypass：无任何限制或警告。 Undefined：没有为当前范围设置执行策略。...在更改执行策略时，应考虑到脚本来源的安全性。 8.远程管理 PowerShell远程管理是通过网络执行命令和脚本的功能，通常用于管理远程计算机。

3.3K1 0

抓取内存口令一个小技巧

Win32LockWorkStation" -namespace Win32Functions -passthru $LockWorkStation::LockWorkStation() | Out-Null } 2.测试原本以为凡是远程执...⾏命令就可以达到⽬标，但是经过测试后才发现现实很⻣感，测试了计划任务、wmic、winrm、psexec、MSF Meterpreter、Cobalt Strike beacon五种远程执⾏⽅法，仅有MSF...2.4 存在的问题 1. at、wmic、winrm、PsExec这种“合法”⼯具⽆法完成锁定⽤⼾的操作，个⼈分析认为是以为他们三个执⾏后会在新的⼯作站中创建进程并执⾏，⽆法影响到⽤⼾所在的“Winsta0...”⼯作站；⽽MSF、CS这种通过远控可以达到预期效果，是因为执⾏的进程是从本就在⽤⼾“Winsta0”⼯作站中的客⼾端进程派⽣出来。...个⼈认为CS中的 runu 指令应该也可以直接锁定其他⽤⼾，但是没有测试成功，还希望了解的⼤佬指点⼀⼆。

1K1 0

全网首发！Kali Linux 2025工具指南-横向移动篇

本文我们来学习在渗透测试中常用的横向测试工具。喜欢就收藏吧！横向移动篇所谓横向移动是指，攻击者获取内网环境中从一台后，利用此主机扩展到其他主机，最终可能获取域控制器的权限。...使用 evil-winrm，我们获得远程主机的 PowerShell 会话。在使用之前，我们可以先利用nmap扫描目标主机是否开启 Winrm 服务。...nmap -p 5985,5986 192.168.50.4 如果已检索有效凭据，可以利用下面命令开启远程 PowerShell 会话： evil-winrm -i 192.168.50.4 -u administrator...列出共享驱动器、驱动器权限、共享内容、上传/下载功能，文件名自动下载模式匹配，甚至执远程命令。该工具的设计考虑到了笔测试，并且旨在简化对大型数据中潜在敏感数据的搜索网络。.../逍遥子//拉布拉多/卖玩具的神秘人.mp4' 05 Rdesktop Rdesktop用于在 Linux 系统中连接 Windows 的远程桌面协议 (RDP)。

2731 0

围绕PowerShell事件日志记录的攻防博弈

为了捕获利用PowerShell的攻击行为，越来越多的安全从业人员使用PowerShell事件日志进行日志分析，提取Post-Exploitation等攻击记录，进行企业安全的监测预警、分析溯源及取证工作...• 极易混淆编码，PowerShell具备脚本类语言的特点，灵活多变，很容易配合多种混淆方法，对抗传统检测工具 • 良好的功能及适应性，满足多种攻击场景的需求：PowerShell内置远程管理机制，可用于远程命令执行...尽管如此，旧版本中的默认日志记录级别也可以提供足够的证据来识别PowerShell使用情况，将远程处理与本地活动区分开来并提供诸如会话持续时间和相关用户帐户之类的上下文，这些已经可以帮助位于防御方的蓝队人员进行相关的攻击事件推断和关联性分析...每次在PowerShell执行时，不管是本地会话还是远程会话都会产生以下日志： • 事件ID 400：引擎状态从无更改为可用，记录任何本地或远程PowerShell活动的开始； • 事件ID 600：...但是，通过使用这些事件，分析人员可以确定PowerShell会话的持续时间，以及它是在本地运行还是通过远程运行。 ?

2.1K3 0

使用Sysmon和Splunk探测网络环境中横向渗透

在splunk中搜索Sysmon事件，识别出可疑的ＳＭＢ会话（４４５端口）： sourcetype=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational...然后通过分析当前的Windows事件日志，辨别进程的创建/终止，网络连接的建立/销毁来区别正常与异常的SMB会话。探测攻击者使用PowerShell进行横向渗透。...在这个例子中，攻击者在被攻击机器上面远程执行脚本，或者连接了受害者机器。 ?...在Splunk中，我们可以通过下面的Sysmon事件来辨识出恶意的行为，我们可以攻击者使用WinRM 远程连接了被攻击机器的5896端口： sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon...上面的案例经常会发生在大家的网络环境中，有时候攻击者会使用原生的系统工具来使隐藏恶意行为，所以熟悉自己网络环境中的正常行为非常重要。

2.5K7 0

基于合法RMM工具的多阶段持久化攻击检测与防御研究

摘要近年来，远程监控与管理（Remote Monitoring and Management, RMM）工具因其在企业IT运维中的广泛部署，逐渐成为高级威胁行为者实现隐蔽持久化访问的首选载体。...或批处理脚本，枚举域用户、提取凭证；远程桌面接管：直接操作用户会话，进行BEC（商业邮件诈骗）或数据窃取。...而RMM代理的以下行为常被忽略：合法进程（如RmmService.exe）启动cmd.exe或powershell.exe；从C:\ProgramData\RMM\temp目录执行脚本；在非IT部门主机上出现...temp）中的脚本执行；捕获重复的凭证枚举行为（如多次调用lsass.exe内存读取）。...并触发告警；EDR行为规则捕获了RmmService.exe启动powershell -enc ...的命令；时间窗口策略阻断了凌晨3点的RMM会话建立尝试。

2561 0

围绕PowerShell事件日志记录的攻防博弈战

为了捕获利用PowerShell的攻击行为，越来越多的安全从业人员使用PowerShell事件日志进行日志分析，提取Post-Exploitation等攻击记录，进行企业安全的监测预警、分析溯源及取证工作...尽管如此，旧版本中的默认日志记录级别也可以提供足够的证据来识别PowerShell使用情况，将远程处理与本地活动区分开来并提供诸如会话持续时间和相关用户帐户之类的上下文，这些已经可以帮助位于防御方的蓝队人员进行相关的攻击事件推断和关联性分析...Windows PowerShell.evtx 每次在PowerShell执行单个命令时，不管是本地会话还是远程会话都会产生以下日志： • 事件ID 400：引擎状态从无更改为可用，记录任何本地或远程PowerShell...但是，通过使用这些事件，分析人员可以确定PowerShell会话的持续时间，以及它是在本地运行还是通过远程运行。...• 事件ID 6：在客户端系统上的远程处理活动开始时记录。包括系统连接的目标地址； • 事件ID 169：在访问系统的远程处理活动开始时记录。

2.3K1 0

如何检测Windows Server是否开启了远程桌面多用户多会话？

，2008R2和2012R2应用补丁超慢且最终失败回滚的方案 https://cloud.tencent.com/developer/article/2443437 【背景】远程多用户多会话有重大安全漏洞...深信服发文称：微软披露最新的远程代码执行超高危漏洞CVE-2024-38077， CVSS评分高达9.8 ，可导致开启了远程桌面许可服务的Windwos服务器完全沦陷。...该漏洞可稳定利用、可远控、可勒索、可蠕虫等，破坏力极大，攻击者无须任何权限即可实现远程代码执行。如何检测Windows Server是否开启了远程桌面多用户多会话？...[ ] 远程桌面会话主机 RDS-RD-Server Available [ ] 远程桌面连接代理 RDS-Connection-Broker...，还可以通过注册表过滤，2008R2的注册表没查到（机制跟高版本有所不同），2012-2025都有注册表可以查，值是1就说明启用了，值为0就说明没启用 reg query "HKLM\SOFTWARE\

1.4K6 1

PS命令之操作系统远程管理及进程服务操作示例

当前仅在Windows平台上支持基于WS-Management的PowerShell远程处理(此cmdlet在Linux或MacOS版本的PowerShell中不可用)。...该cmdlet阻止对本地计算机上所有PowerShell版本和更高会话会话配置的远程访问,同样需要使用“以管理员身份运行” 选项启动。...会话配置的远程访问 Disable-PSRemoting # 示例2：在没有确认提示的情况下阻止对所有PowerShell会话配置的远程访问 Disable-PSRemoting -Force # 禁用会话配置后...# 新的输出显示AccessDenied安全描述符已从所有会话配置中删除,此时便可以正常的创建远程连接会话了。...上启动PowerShell的后台实例，该实例即使在关闭启动会话后仍保持活动状态。

8.4K4 0

技术分享-持久性-WMI事件订阅

PowerShell PowerShell 包含可以查询 WMI 对象并将信息检索回控制台的 cmdlet。以下命令可用于验证是否已创建任意事件以及恶意负载/命令是否存储在 WMI 存储库中。...然而，该脚本需要将Invoke-MetasploitPayload加载到内存中，并且负载将从远程位置下载。...WMI-Persistence是另一个 PowerShell 脚本，它可以创建事件过滤器，在每次重新启动后 5 分钟内从远程位置执行基于 PowerShell 的有效负载。...当命令执行时，将生成失败的登录事件，该事件将触发有效负载并打开一个 Meterpreter 会话。...“ wmi_updater ” 模块能够从远程位置获取有效负载，而不是将其存储在 WMI 存储库中。它将注册为“ AutoUpdater ”，并且可以在启动时或一天中的特定时间设置触发器。

3.7K1 0

网络罪犯并非儿戏：Roblox模组中隐藏的恶意软件

用户之间的文件共享很常见，自动化安全工具通常会错过嵌入在软件包中的恶意脚本。无论如何，参与游戏破解的用户倾向于将杀毒软件检测视为误报。...此操作可能会在其主机上部署远程访问木马（RAT）。专门讨论Roblox模组的Subreddit包含此网络钓鱼途径的证据，一些用户正确地质疑不良行为者提供的软件包安装命令的有效性。...GitHub问题和评论与Roblox开发相关的GitHub存储库也是常见的目标。恶意行为者劫持合法项目的“问题”部分，在“错误修复”或“功能增强”中嵌入恶意链接。...恶意软件托管在一个攻击者控制的GitHub存储库中。以下是antibyfron软件包的__init__.py脚本中的Python代码；注释为原文。...尽管在整个活动中文件名和托管服务有所不同，但核心信息窃取程序菌株保持一致。

8021 0

Windows凭证钓鱼方式面面观

的这种行为可以获得windows用户的凭据，这些凭据可以在RedTeam测试期间用于横向移动，当已经在系统上实现了初始立足点并且不能通过替代方法发现用户的凭证时，这种技术还算是一种比较有用的。...，在执行时会向用户显示一个假的登录屏幕每一次击键都将在控制台上被捕获，直到用户的密码完全暴露(效果依旧不是很好，Windows 10要稍好一些) Win 10测试效果：当密码错误时会要求重新输入：...之后再MSF中会有记录： PowerShell windows安全输入提示非常常见，因为公司环境中的应用程序可能会定期要求用户进行身份验证，Microsoft outlook是一种经常在域环境中执行凭据请求的产品...powershell中以调用http请求，powershell命令可以直接从bat文件中执行： Step 1：搭建一个web服务用于托管powershell: Step 2:修改脚本中的URL地址 Step...，否则提示不会关闭，该脚本可以从远程位置执行，凭据将显示在控制台中。

8111 0

使用VSCode远程调试恶意Powershell脚本

概述在野的Powershell恶意脚本总是经过多重混淆、加密，直接静态分析难以得知脚本具体有什么恶意行为，所以需要对其进行动态调试。...虚拟机环境搭建首先虚拟机建议使用Win10，因为VSCode的远程调试功能与Win10兼容性更好，同时，建立远程会话需要将虚拟机里的网络类型设置为专用。 ?...然后将待调试的脚本放入虚拟机中，输入：psedit [虚拟机中的脚本路径]，加载目标脚本。 ?...将第二阶段的payload保存为payload2.ps1并打开，原来就是个函数定义，函数名为U5BS3，然后在payload.ps1中进行调用。 ?...而VSCode作为微软开发的脚本IDE，对Powershell远程调试的功能是很完善的，大家可以通过VSCode远程调试功能，提升解混淆分析恶意Powershell脚本的效率。

4.5K1 0

多阶段网络钓鱼活动针对俄罗斯，使用失忆症远程访问木马和勒索软件

执行时，它会运行 PowerShell 命令来检索托管在 GitHub 存储库（“github[.]com/Mafin111/MafinREP111”）上的下一阶段 PowerShell 脚本，该脚本随后用作第一阶段加载器来建立立足点...经过故意设置的 444 秒延迟后，PowerShell 脚本会运行托管在同一存储库位置的 Visual Basic 脚本（“SCRRC4ryuk.vbe”）。...该 Visual Basic 脚本经过高度混淆，充当控制器，直接在内存中组装下一阶段的有效载荷，从而避免在磁盘上留下任何痕迹。...在成功解除安全控制和恢复机制后部署的最后一个有效载荷之一是 Amnesia RAT（“svchost.scr”），该程序从 Dropbox 获取，能够大规模窃取数据并进行远程控制。...总而言之，Amnesia RAT 能够窃取凭证、劫持会话、进行金融欺诈和实时数据收集，使其成为账户接管和后续攻击的综合工具。

2141 0

记一次powershell的免杀之路（绕过360、火绒）

PowerShell需要.NET环境的支持，同时支持.NET对象，其可读性、易用性居所有Shell之首。 PowerShell具有以下特点： 1、在Windows 7以上的操作系统中是默认安装的。...2、PowerShell脚本可以运行在内存中，不需要写入磁盘。 3、几乎不会触发杀毒软件。 4、可以远程执行。 5、目前很多工具都是基于PowerShell开发的。...为了在攻击者在行动中更隐蔽的实施攻击以及内网横向移动，同时还可以解决目标不出网只能通过dns上线时的棘手问题，利用powershell可以避免一行行echo。...图像保存为 PNG，并且可以无损压缩而不会影响执行有效负载的能力，因为数据存储在颜色本身中。...) 虽然ps1代码⾃身免杀，但在⽤powershell执⾏远程下载或执⾏shellcode时，很容易触发杀软⾏为规则。

8.2K1 0

内网渗透-导出HASH的多种方式

-l 列出登录的会话和NTLM凭据（默认值） -s 修改当前登录会话的NTLM凭据参数：::: -r 不定期的列出登录的会话和NTLM凭据，如果找到新的会话，...文件名> -i 指定一个LUID代替使用当前登录会话参数: -d 从登录会话中删除NTLM凭据参数: -a 使用地址参数: -f 强制使用安全模式 -g 生成LM和NT的哈希参数在管理员权限的powershell下，默认支持SeDebugPrivilege权限，并且状态为已启用。...64位代码）静态编译和动态编译是两种不同的编译方式，它们在编译和运行阶段的行为有所不同。...注意使用psexec需要SMB建立监听器成功上线所有的机器使用域控的会话，在LSTAR插件中导出域内用户hash 获取到域内所有用户的hash。

1.6K1 0

Windows Remote Management (WinRM) 的认证类型及应用场景

在 NTLM 认证过程中，密码在网络中是不可见的，而是使用 MD4 算法生成的散列进行交换。...在某些需要进行第二次认证的场景中，如远程桌面服务，CredSSP 可以提供更好的用户体验。认证配置：为了让 WinRM 支持对应的认证，你需要对 WinRM 服务进行一些配置。...某些情况下，可能需要在客户端进行一些配置，例如设置 NTLM 信任级别或者添加服务器到信任列表中。具体的步骤可能会根据客户端类型和配置有所不同。...设置认证类型当我们使用 PowerShell 进行远程连接时，可以使用 $PSSessionOption 变量来查看或设置会话选项，包括使用的认证类型。...在选择适合的认证类型时，你需要考虑你的具体需求，如网络环境、安全需求，以及 WinRM 客户端和服务器的配置等。理解不同认证类型的工作原理和使用场景，可以帮助你更好地使用 WinRM 进行远程管理。

1.8K3 0

使用CMSTP绕过AppLocker的方法介绍

它是一个受信任的Microsoft二进制文件，位于以下两个Windows目录中。 ? AppLocker默认规则允许在这些文件夹中执行二进制文件，因此我们可以用它来作为bypass的一种方法。...Meterpreter会话将从DLL执行中打开。 ? SCT 除了DLL文件外，cmstp还能够运行SCT文件，这在红队操作中扩展了二进制的可用性。...Nick Tyrer还编写了一个名为powersct.sct的scriptlet，可以将其用作执行PowerShell命令的备选解决方案，以应对本机PowerShell被阻止的情况。...INF文件需要包含scriptlet的远程位置。 ? ? 在执行INF文件时，将会打开一个新的命令提示符窗口，这表示代码已被成功执行。 ? 成功获取到一个Meterpreter会话。 ?...CMSTP需要INF文件并在执行时生成一个CMP文件，它是连接管理器设置文件。

6513 0

点击加载更多

CobalStrike 4.0 生成后门几种方式及主机上线后基础操作

11.反恶意软件扫描接口 (AMSI)

Powershell

抓取内存口令一个小技巧

全网首发！Kali Linux 2025工具指南-横向移动篇

围绕PowerShell事件日志记录的攻防博弈

使用Sysmon和Splunk探测网络环境中横向渗透

基于合法RMM工具的多阶段持久化攻击检测与防御研究

围绕PowerShell事件日志记录的攻防博弈战

如何检测Windows Server是否开启了远程桌面多用户多会话？

PS命令之操作系统远程管理及进程服务操作示例

技术分享-持久性-WMI事件订阅

网络罪犯并非儿戏：Roblox模组中隐藏的恶意软件

Windows凭证钓鱼方式面面观

使用VSCode远程调试恶意Powershell脚本

多阶段网络钓鱼活动针对俄罗斯，使用失忆症远程访问木马和勒索软件

记一次powershell的免杀之路（绕过360、火绒）

内网渗透-导出HASH的多种方式

Windows Remote Management (WinRM) 的认证类型及应用场景

使用CMSTP绕过AppLocker的方法介绍

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐