Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
PowerShell 7 指的不是系统自带的 powershell ,而是新下载的(微软官方出品),当然这个教程也适用于系统自带的 powershell
本文为作者原创文章,为尊重作者劳动成果禁止非授权转载,若需转载请在【全栈工程师修炼指南】公众号留言,或者发送邮件到 [master@weiyigeek.top] 中我将及时回复。
钓鱼攻击是网络犯罪团伙常用的一种手段,很多勒索病毒都曾使用邮件钓鱼的方式欺骗受害者打开相应的附件,运行恶意样本,导致受害者被勒索加密,钓鱼邮件攻击也是APT攻击的常用手段之一,如果收到陌生的邮件,千万不要随便点击附件链接或打开邮件附件中的文件。
在我们的渗透过程中,通常会需要向目标主机传送一些文件,来达到提权,维持控制等目的。
使用 PowerShell, 执行下面的命令分别安装 Posh-Git 和 Oh-My-Posh:
dnscat2(https://github.com/iagox86/dnscat2)是一个DNS隧道,旨在通过DNS协议创建加密的命令和控制(C&C)通道。dnscat2分为两部分:客户端和服务端。dnscat2客户端采用C语言编写,服务器端采用ruby语言编写。后来又有安全研究人员使用PowerShell脚本重写了dnscat2客户端dnscat2-powershell(https://github.com/lukebaggett/dnscat2-powershell)。
0x00 过渡 之前提到当在执行powershell脚本时,由于默认策略的缘故,是会报错的,因此也出现了几种逃过的情况: 本地权限绕过:PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1,此外还可以通过本地隐藏权限进行绕过:PowerShell.exe -ExecutionPolicy Bypass -NoLogo –NonInteractive -NoProfile -WindowStyle Hidden -File xxx.ps1 IEX下载
Netskope 的研究人员正在跟踪一个使用恶意 Python 脚本窃取 Facebook 用户凭据与浏览器数据的攻击行动。攻击针对 Facebook 企业账户,包含虚假 Facebook 消息并带有恶意文件。攻击的受害者主要集中在南欧与北美,以制造业和技术服务行业为主。
1 概述 最近出现了一种新型的PPT钓鱼攻击方式,该种钓鱼攻击方式不需要宏就能实现执行powershell的功能,通过网络下载gootkit木马进行控制。 2 分析 样本 MD5:3bff3e4fec2b6030c89e792c05f049fc 在拿到样本我们放到虚拟机中进行执行,可以看到以下,但是这并不会触发攻击 当我们用F5放映这个文档后,并把鼠标放到 Loading…Please wait 这个上面,就可以看到如下的画面,提示我们要启动一个外部程序 这个时候我们在点击启动之后,会看见一个powersh
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
Metasploit带有内置的后期漏洞利用功能,可帮助我们完成任务。由于它是后渗透的模块,因此只需要输入会话即可:
可以看一下对比,创建test用户,net user查看用户是可以看见的,而admin$,因为加了个$符号,用net user命令是看不见的。
链接:https://pan.baidu.com/s/1RZteNm-AoJoB8zH2Zs899g 提取码:wins
Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。可以简单的理解 Powershell为Window下更加高级的cmd,这里是总结了一些基础的powershell入门使用语法,Powershell的运用还很多,需要深入研究进阶用法。
接着之前的文章 黑科技抢先尝(续) - Windows terminal中WSL Linux 终端的极简美化指南, 依然假定你安装好了windows terminal预编译版本。
黑石除外,黑石裸金属之类的windows机器不要轻易动cloudbase-init,普通cvm的windows机器继续往下看
前文分享了Windows基础,包括系统目录、服务、端口、注册表黑客常用的DOS命令及批处理powershell。这篇文章将详细讲解PowerShell和PowerSploit脚本攻击,进一步结合MSF漏洞利用来实现脚本攻击和防御。希望这篇文章对您有帮助,更希望帮助更多安全攻防或红蓝对抗的初学者,且看且珍惜。本文参考徐焱老师的《Web安全攻防渗透测试实战指南》著作,谢公子博客,并结合作者之前的博客和经验进行总结。
这里是一些简单的基础,罗列一些简单的语法,如果你有一些编程语言的基础一眼就能明白,通过这些大概了解powershell的入门使用语法
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章是权限维持分析及防御,分析了常见的针对操作系统后门、Web后门及域后门(白银票据、黄金票据等)的攻击手段,并给出了相应的检测和防范方法
利用burp编码爆破Basic Authorization认证、smb连接的多种方法、windows用户的NTLM值破解方法、evil-winrm的运用、windows主机信息收集工具、msf运行powershell脚本、远程运行powershell脚本、PrintNightmare漏洞提权等多个知识点。
Windows Management Instrumentation (WMI) 使系统管理员能够在本地和远程执行任务。从红队的角度来看,WMI 可用于执行多种活动,例如横向移动、持久性、态势感知、代码执行以及作为命令和控制(C2)。WMI 是几乎所有 Windows 操作系统(Windows 98-Windows 10)中都存在的 Windows 的一部分,这一事实使这些攻击性活动远离蓝队的雷达。
Windows PowerShell 是一种用于自动化运维的强大工具,能够在Windows操作系统上执行各种管理任务。本文将重点介绍Windows PowerShell的基础知识、应用技巧和案例分享,帮助读者深入了解这款强大的自动化运维工具,并为读者在运维领域的发展提供宝贵的帮助和指导。
撰写本文日期是在2019年11月12日,Windows系统版本是1903,Windows Terminal 与刚开始出预览版时也有了很多改进。
Windows中cmd窗口的文件下载(bitsadmin、certutil、iwr)
Mimikatz有一个名为dcsync的功能,它利用目录复制服务直接读取ntds.dit文件检索域哈希值,但是必须使用域管理员权限运行mimikatz才可以读取ntds.dit。
程序员最讨厌的事情之一可能就是装电脑了。因为程序员的电脑环境配置和正常人的很不一样。通常,人工安装一台新开发机得花上几个小时。得让这个过程自动化,毕竟编程的精髓就在于让复杂事情简单化,想办法偷懒!
概述 最近,国外的安全研究员发现了一种在文档中使用DynamicData Exchange (DDE)协议发起渗透的方法。使用该方法可以绕过MSWord和MSExcel宏限制,不需要使用MSWord和MSExcel的漏洞就可以执行命令。腾讯反病毒实验室哈勃系统第一时间复现了该渗透方法,本文将详细介绍该渗透方法的构造过程。 背景 Windows提供了应用程序间数据传输的若干种方法。其中一种就是使用动态数据交换(DDE)协议。DDE协议是一套消息和指示的集合。通过发送消息以及共享内存实现应用程序的数据共享和交换
何为“后渗透”?就是获取到受害者服务器的权限后,再继续对受害者服务器进行长期攻击或者信息获取的一种持续性手段。常见的手段有,后门、影子账户、会话劫持等等。
Python是一种多功能编程语言,可用于许多不同的编程项目。1991年首次出版,其名称灵感来自英国喜剧组织Monty Python,开发团队希望使Python成为一种有趣的语言。易于设置,并以相对简单的方式编写并立即反馈错误,Python是初学者和经验丰富的开发人员的绝佳选择。Python 3是该语言的最新版本,被认为是Python的未来。
对很多IT专业人士来说,Powershell的确是Windows系统中一个相当强大的工具,而且微软也有意将PowerShell作为Windows系统的默认命令行工具。但赛门铁克最近的一份报告指出,超过
专注是做事成功的关键,是健康心灵的特质。当你与所关注的事物融为一体时,就不会让自己萦绕于焦虑之中。专注与放松,是同一枚硬币的两面而已。一个人对一件事只有专注投入才会带来乐趣。一旦你专注投入进去,它立刻就变得活生生起来。
这时oh-my-posh会设置一个默认的主题(只要看到彩色的字体,应该就是设置成功啦)
在渗透过程中,通常会需要向目标主机传送一些文件,来达到权限提升、权限维持等目的,本篇文章主要介绍一些windows和Linux下常用的文件下载方式。
我一直秉持着一个美化舒适的开发环境能够极大的激发编程的兴趣这件事。而 Win10 原版的 PowerShell 和 CMD 窗口以及 git 自带的 git bash 都不能令我满意,甚至可以说实在是太丑了。
微软的新终端Windows Terminal终于发布正式版了。这个终端诞生以来就大获好评,对于使用Windows进行开发的小伙伴来说又有了新的玩具了。先来看看官方的介绍视频吧。
引言 PowerShell 安装 oh-my-posh 参考: JanDeDobbeleer/oh-my-posh: A prompt theme engine for any shell. Windows | Oh My Posh - 官方 本文为最新的 oh-my-posh 3 , 而不是 oh-my-posh2 1. 安装 字体 参考: Windows Terminal 美化(oh-my-posh) - 喜欢小让 - 博客园 Fonts | Oh My Posh DejaVuSansMono Ner
在野的Powershell恶意脚本总是经过多重混淆、加密,直接静态分析难以得知脚本具体有什么恶意行为,所以需要对其进行动态调试。目前最常用的Powershell调试器是ISE,但ISE没有较友好的调试窗口,使得调试脚本时效率低下,下面,将介绍使用VSCode实现远程调试Powershell脚本,帮助你提升解密分析Powershell恶意脚本的效率。
注意事项 1.文件保存格式为ANSI(后果:导致中文乱码或执行命令不生效) 2.以管理员身份运行文件(后果:否则无法执行或执行无反应) 3.以ANSI格式保存后执行出现乱码,需要重新再次以ANSI格式保存后然后再次执行
这次继续围绕第一篇《第一季从攻击者角度来对抗》做整理与补充。在深入一步细化 demo notepad++。
11 月 10 日,我们发现了一次多阶段 PowerShell 攻击,该攻击使用冒充哈萨克斯坦卫生部的文件诱饵,目标是哈萨克斯坦。
众所周知,勒索病毒等新型恶性病毒,常通过邮件来传播,“邮件欺诈——病毒下载器——恶性病毒”是目前最常见的传播方式。
在“开始菜单”->“运行”中输入gpedit.msc打开组策略编辑器,在左边导航栏中选择“计算机配置”->“windows设置”->“脚本(启动/关机)”,双击其右边的“启动”选项,打开“启动属性”窗口:
WinlogonHack 是一款用来劫取远程3389登录密码的工具,在 WinlogonHack 之前有一个 Gina 木马主要用来截取 Windows 2000下的密码,WinlogonHack 主要用于截取 Windows XP 以及 Windows 2003 Server
xHunt活动从2018年7月份一直活跃至今,这个组织的主要目标针对的是科威特政府和航运运输组织。近期研究人员发现,xHunt的攻击者又攻击了科威特一家机构的Microsoft Exchange服务器。虽然我们无法确认攻击者是如何入侵这台Exchange服务器的,但是根据此次事件相关的计划任务创建时间戳,我们发现攻击者早在2019年8月22日之前就已经能够访问这台Exchange服务器了。在此活动中,攻击者使用了两个后门,一个是TriFive,另一个是Snugy的变种版本(这是一个Web Shell,我们称之为BumbleBee)。
作为一个程序员,终端工具是必不可少的。但是「Windows」 的默认终端实在太丑了,作为一个颜控忍不了。所以必须实施终端改造计划。目前我们都会使用 「PowerShell」,所以改造计划就先从它开始。先看看我改造的效果:
领取专属 10元无门槛券
手把手带您无忧上云