PowerShell-文件名分析缺陷远程代码执行-0day

官方的解释：

当括号用作文件名的一部分时，它可以用来劫持当前加载的文件，而不是 另一个恶意文件。 该文件必须包含一个匹配的char值，该值也可以在我们精心编制的文件名中找到。 要求是两个文件必须驻留在同一目录中。例如，如果文件名为[helloworldutoria1].ps1 与 名为1.ps1的文件将创建脚本劫持条件。注意，最后一个字母是数字“1”，而不是小写“l”。 我发现使用ps文件名还可以使用单个字母或数字字符作为脚本的目标 以及某些符号。 只有一个单引号的PowerShell脚本也可以工作，[pwned']。 Vuln ISE应用程序。 这些字符还可以完成工作： “$”“”“”“^”加上任何不区分大小写的字母a-z或数字0-9，[hello_world].ps1===>uu1.ps1 [您好]。PS1将改为执行此操作===>H.PS1 破折号“-”引发以下错误：“指定的通配符模式无效：[hello world].ps1”当 指向 另一个名为-.ps1的ps文件，似乎将其视为元字符。 [pw3d].ps1<==应执行 3.ps1<==实际执行 这利用了PowerShellISE和最终用户之间的信任。因此脚本调试本地或通过网络共享 显示“可信”代码 在ISE中运行。但是，当用户调试脚本时，会执行另一个脚本。 有趣的是，第二个脚本在执行时不会加载到PowerShellISE中，因此用户可能看不到 有什么不对的。 成功发生攻击需要用户交互，显然运行任何未知的PowerShell脚本都可以 危险。 同样，这种利用利用利用了“信任”的优势，用户可以看到和读取代码，并将其作为一切都信任它。 看起来很好，而且 然而…他们还是会被惩罚的！. 在Win7/10上成功测试

一、

二、执行[HelloWorldTutoria1].ps1

成功弹出计算机。

官方说明链接：https://seclists.org/bugtraq/2019/May/0

公众号回复：powershell 获取截图中的两个文件

最后说一句，这是个垃圾的0day。powershell需要权限才能运行。