专栏首页FreeBuf如何使用PowerShell实现命令控制以及安全检查绕过

如何使用PowerShell实现命令控制以及安全检查绕过

Windows操作系统在全球市场上的占比是大家有目共睹的,而现代Windows平台都默认安装了PowerShell,而且系统管理员还可以毫无限制地访问和使用PowerShell终端。这一切的一切,使得目前很多的安全渗透工具都是采用PowerShell编写的。但我们也要注意,PowerShell的这些特性也使得它成为了网络犯罪分子非常喜爱的一种工具。

BenTurner 和 Dave Hardy 这两位安全研究人员开发出了一款基于 PowerShell 和C#的命令控制工具- PoshC2 ,这款工具不仅实现了各种各样的攻击技术,而且使用起来也非常简单。而 PoshC2 最重要的功能就是它能够绕过目标主机中部署的各种安全检查。

PoshC2下载地址

点击阅读原文查看下载链接

PoshC2的安装步骤如下:

PoshC2提供了通信数据加密功能,而且只需要八个步骤的简单操作就可以完全配置好PoshC2。PoshC2的配置界面如下:

配置完成之后,该工具会列出所有它所能实现的技术,渗透测试人员可以利用 PoshC2 来绕过 AppLocker 、Bit9 或通过 PowerShell 向目标主机中下载植入程序。

PoshC2还可以生成各种功能强大的Payload,研究人员可以在渗透测试或安全评估过程中使用这些Payload。

当植入程序成功下载并在目标主机中安装之后,植入程序处理器(Implant Handler)终端将会打开,它负责处理植入程序和C2服务器之间的交互,并在目标主机中执行命令。

与PowerShell会话类似,它也能接收任何的PowerShell命令或PoshC2命令,相关命令可以在帮助菜单中找到:

PoshC2的植入程序中还包含很多其他的技术,研究人员可以利用这些技术来提取信息、实现提权或收集主机/域名信息。下面列出了其中的部分渗透技术:

注:该工具还提供了图形用户接口,但是用户需要安装 .NET Fram work v4.03019 。 除此之外,该工具的输出数据还可以保存为 HTML 文件格式。

总结

PoshC2最大的优势就在于它使用的是PowerShell,因此它的植入程序不需要任何其他的依赖组件,这种特性与其他很多用Python开发的命令控制工具很相似。除此之外,它的运行速度和效率非常快,稳定性非常高,而且输出信息也非常详细。

综上所述,PoshC2肯定可以给广大渗透测试人员带来非常大的帮助。

参考资料

1.https://labs.nettitude.com/blog/poshc2-new-features/ 2.https://labs.nettitude.com/blog/release-of-nettitudes-poshc2/ 3.https://labs.nettitude.com/tools/poshc2/ 4.https://github.com/nettitude/PoshC2

本文分享自微信公众号 - FreeBuf(freebuf),作者:Alpha_h4ck

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-09-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 你以为Petya真的是勒索软件吗?背后可能是一次国家级攻击

    最近两天,Petya勒索软件席卷欧洲,包括乌克兰首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、...

    FB客服
  • 小心电脑扬声器泄漏你的敏感数据

    近期,来自以色列本古里安大学的安全研究人员向外界演示了一种名叫“Mosquito”(蚊子攻击)的攻击技术,而这种攻击技术将允许攻击者通过扬声器或耳机从物理隔离(...

    FB客服
  • 安全研究 | CentOS 7系统利用suid提权获取Root Shell

    本文档介绍在CentOS 7系统中利用带有suid权限的程序提权从而获取root shell的方法。

    FB客服
  • LintCode-632. 二叉树的最大节点

    悠扬前奏
  • X.509、PKCS文件格式介绍

    也就是说ASN.1是一种用来定义数据结构的接口描述语言,它不是二进制,也不是文件格式,看下面的例子你就会明白了:

    颇忒脱
  • 图像识别基本算法之SURF

    俺踏月色而来
  • 干货 | 携程App网络服务通道治理和性能优化

    编者:本文作者为携程无线开发总监陈浩然。陈浩然,计算机博士,2008年iOS SDK发布后,投身移动互联网。先后在外企、创业型和国内一线旅游公司从事无线App的...

    携程技术
  • 【leetcode刷题】T123-路径总和

    https://leetcode-cn.com/problems/path-sum

    木又AI帮
  • Linux下升级Python到3.5.2版本

    本文主要介绍在Linux(CentOS)下将Python的版本升级为3.5.2的方法

    大道七哥
  • go语言中的interface使用实例

    go语言中的interface是一组未实现的方法的集合,如果某个对象实现了接口中的所有方法,那么此对象就实现了此接口。与其它面向对象语言不同的是,go中无需显示...

    李海彬

扫码关注云+社区

领取腾讯云代金券