脚本或命令会通过命令行进程执行。...命令行为王 很多PowerShell攻击可以通过监控传递给PowerShell进程的命令行参数来进行检测。...进程创建时传递了哪些命令行参数; 3. 父进程信息; 接下来,我将会用一个Splunk样本来解释如何利用警报信息来检测可疑的PowerShell活动。...一般来说,事件ID 4688的内容如下所示: 所以,我们需要使用下列搜索语句来搜索这些事件信息: 接下来,我们需要检查PowerShell进程初始化时传递过来的命令行参数。...而此时,我们就需要记录事件ID 4688,然后过滤并记录下任何关于PowerShell进程创建的活动以及传递给PowerShell的命令行参数,并以此来检测可疑的PowerShell攻击活动。
探测域内存活主机及地址信息: 自带的内部命令(.bat)、nmap、masscan、powershell第三方脚本:empire、nishang。...WMI允许脚本语言(例如VBScript或Windows PowerShell)来本地或远程管理Microsoft Windows个人电脑和服务器。...简单来说,咱们在cmd或者powershell中使用的命令行语言,就是WMI支持的,它提供给我们一个接口如powershell,便于我们管理计算机。...如果仅得到了Hash,既可以尝试在本机激活成功教程,也可以使用前面介绍的impacket。impacket中的工具能传递hash并能直接执行系统命令,优点:自带提权,命令简洁,功能强大。...Kerberos 协议具体工作方法,在域中,简要介绍一下: 1.客户机将明文密码进行 NTLM 哈希,然后和时间戳一起加密(使用 krbtgt 密码 hash 作为密钥),发送给 kdc(域控),kdc
攻击特征 1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。 2.病毒运行挖矿程序占用计算机资源,影响正常使用。 3.病毒运行木马程序用于自身持久化驻留和操控计算机。...注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名,调用PwoerShell确定木马病毒存在。 攻击链路: ?...分析update.exe如下: 该文件中发送指令通过RSA算法进行加密, 获取指令后通过编码RSA公钥进行解密,最终执行远程命令。...病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端: 该脚本新增一个计划任务,计划每天7:00运行 C:\windows...进程操作 执行cmd命令查询域名信息、本地管理员组信息: ? 判断当前环境是否在域中,由于测试机未加入域,此操作失败。 ? 释放PowerShell脚本并执行,命令行参数为 ?
NTLM-Hash与LM-Hash算法相比,明文口令大小写敏感,但无法根据NTLM-Hash判断原始明文口令是否小于8字节,摆脱了魔术字符串KGS!@#$%。...问题在于,微软一味强调NTLM-Hash的强度高,却避而不谈一个事实,为了保持向后兼容性,NTLM-Hash缺省总是与LM-Hash一起使用的。...这样通过对比两端的计算结果来判断凭据是否有效,从而实现身份认证。...ntlm哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测,成功之后创建TGT(Ticket-Granting Ticket) 将TGT进行加密签名返回给客户机器...用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证.
“WannaMine”最早活跃于2017年9月,更新前的“WannaMiner”使用“永恒之蓝”漏洞攻击武器与“Mimikatz”凭证窃取工具攻击服务器植入矿机,并借助PowerShell和WMI实现无文件...图2展示了“WannaMine”使用的payload,payload最终在目标计算机上执行PowerShell脚本,可见现阶段的攻击只对Windows服务器奏效。 ?...对MSSQL爆破成功后,将在MSSQL中执行PowerShell命令;对PHPMyAdmin爆破成功后,向C&C发送使用的帐号和密码。图3展示了爆破MSSQL成功后所执行的命令。 ?...除了进行挖矿外,“WannaMine”还可以通过接收C&C发出的指令转化为后门。...当C&C向“WannaMine”下发命令“CMD”和“ScreenShot”时,“WannaMine”将执行相应的命令并对屏幕进行截图。
除此之外,该病毒还会通过创建服务、注册表添加自启动等方式达到长期驻留用户终端的目的,并通过修改防火墙规则来削弱系统安全性,甚至不排除病毒作者通过后门指令对外网终端进行攻击的可能性。...根据火绒安全实验室分析,病毒主要通过弱口令暴破和漏洞两种方式进行横向渗透,其中,病毒使用的漏洞包括“永恒之蓝”漏洞、Redis未授权访问漏洞、BlueKeep漏洞、Apache Log4j漏洞等常见高危漏洞...病毒接收到后门指令后,会通过命令行执行PowerShell脚本,下载、解压含有恶意文件的压缩包(updata.7z),执行解压后的install.cmd。...脚本内容,如下图所示: PowerShell指令 压缩包内容,如下图所示: 压缩包内容 执行install.cmd,更新现有模块,并且执行rdpcIip横向传播模块,如下图所示: install.cmd...通过Redis未授权访问漏洞连接成功后,将通过wget指令下载恶意模块并执行,相关代码,如下图所示: Redis传播流程 BlueKeep漏洞传播 根据RDP协议获取目标主机名,将目标IP和主机名加密传给
的一些特性 Powershell对命令行和脚本环境添加了许多新的功能,以此来改善Powershell的管理和脚本脚本交互能力,想对于其他的命令脚本,Powershell有以下特性。...比如现在想对Window服务,即对service进行操作(停止或是启动服务等其它操作),可以通过以下命令来查找与操作service有关的命令。 ...交互式脚本环境 PowerShell 将交互式环境和脚本环境组合在一起,从而允许访问命令行工具和 COM 对象,同时还可利用 .NET Framework 类库 (FCL) 的强大功能(可以加载调用cmd...可以将输出对象发送给另一条命令以作为其输入(通过管道运算符"|")。因此,Windows PowerShell 为曾使用过其他 shell的人员提供了熟悉的界面,同时引入了新的、功能强大的命令行范例。...PowerShell 通过统一的模式(类似的命令)来减少要了解和使用 cmdlet 所需知道的不同名称数。 Powershell命令集cmdlet通过使用"动词-名词"名称以减少命令记忆量。
另外呢,只要你所在服务器的环境支持,你也可以通过任何一门语言来实现它,这种方式暂不在本文的讨论范围之内。...---- 1、PowerShell PowerShell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用。...9、msiexec msiexec 支持远程下载功能,将msi文件上传到服务器,通过如下命令远程执行: #生成msi包 msfvenom -p windows/exec CMD='net user test...JSRat来做演示,JSRat是一个命令和控制框架,仅为rundll32.exe和regsvr32.exe生成恶意程序。...\en-US,仔细观察该脚本可以发现其显然是由用户提供输入(通过命令行参数),之后再将参数传递给GetObject() "C:\Windows\System32\Printing_Admin_Scripts
powershell:通过受害主机的 PowerShell 执行命令。...psinject:将非托管的 PowerShell 注入到一个特定的进程中并从此位置运行命令。 powershell-import:导入 PowerShell 脚本到 Beacon 中。...直接运行 powershell-import + 脚本文件路径即可,但是这个脚本导入命令一次仅能保留一个 PowerShell 脚本,再导入一个新脚本的时候,上一个脚本就被覆盖了,因此可以通过导入一个空文件来清空...使用inject [pid] x64来将一个64位 Beacon 注入到一个 64位进程中。 spawn和inject命令都将一个 payload stage 注入进内存中。...会话传递使用场景 1、将当前会话传递至其他CS团队服务器中,直接右击spawn选择要传递的监听器即可。 2、将当前会话传递至MSF中,这里简单做一下演示。
这时候就需要用到内网哈希传递技术了。哈希传递利用了NTLM认证的缺陷,使用用户的密码哈希值来进行NTLM认证。...如果目标机器与获取hash值的机器的密码相同,就可以直接使用hash来远程登录Windows主机了。...如下所示的使用命令,从本地sam文件中读取密码哈希。推荐使用以下命令,尽量不要从内存中提取,因为内存中存放的可能是管理员修改密码前的哈希值,导致哈希传递不成功。...Invoke-TheHash,使用powershell脚本编写的专门用来哈希传递的脚本,同时支持WMI、SMB的哈希传递。...如果所有的机器都是在域环境下,则可以使用默认的 5985 端口,否则的话则通过 5986 端口使用 HTTPS 传输。
起初认为攻击者是通过zabbix服务入侵进来的,将网络接入到虚拟机同一个网络环境中,进入zabbix所在的目录查看zabbix.conf.php配置文件其数据库口令为xxxx123弱口令跟虚拟机的登录口令一致...通过netstat命令得到该后门程序svchost.exe曾与123.xxx.xxx.xxx,49.7.xxx.xxx有过数据通信记录疑似该后门软件的远控服务器。...执行ps1文件读取到密码写出mkatz.ini,再通过CMD将powershell经过base64加密后的执行命令添加至计划任务7点执行一次进行权限维持。...通过恶意程序执行的powershell命令进行base64解密得到远程回传URL地址为v.beahh.com,在通过威胁情报搜索该URL显示该地址为驱动人生后门的回传服务器。...0x07 总结 该木马运行后会释放一个m.ps1 PowerShell运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天7点自动向v.beahh.com发送http
#Powershellery/Stable-ish/Get-SPN/ 下Get-SPN.psm1脚本的使用,需要powershell3.0及以上版本才能使用 Import-Module ....7列; 3.将任务列表与域管理员列表交叉引用,查看你是否进入域管理进程中; 2、查询活跃的域名控制器 据我所知,这个技巧是由一个NetSPI造成的。...nbtstat工具进行查询 下面这个Windows命令行脚本将扫描远程系统活跃域管理会话。...输入以下命令运行脚本,psexec_spray.rc脚本使用所提供的凭据在所有存在于192.168.1.0/24的系统中盲目安装meterpreter shells 3....1.非约束委派 通过Import-Module PowerView.ps1加载PowerView脚本之后使用下面的命令进行查询。
这种情况下,黑客想要横向移动到加密主机,就要通过一些手段来获取密码,或窃取登录凭证。与其他的攻击方式相同,“弱口令”是黑客获取密码最简单的一类途径。...调用WMI来进行横向移动的工具包括WMIEXEC.exe、WMIEXEC.vbs脚本、Invoke-Command.ps1脚本和Invoke-WMIMethod.ps1脚本。...cs生成木马使用copy命令上传到靶机 3.调用DCOM远程执行命令 调用MMC20.Application远程执行命令 通过PowerShell与DCOM进行远程交互,此外,我们只需要提供一个DCOM...# 通过PowerShell与DCOM进行远程交互,创建Excel.Application对象的实例: $com = [activator]::CreateInstance([type]::GetTypeFromprogID...二、防护哈希传递攻击 通过以上手段,我们能有效防止黑客从系统中窃取明文密码,但是当黑客窃取到了用户凭据,使用哈希传递等手段登录系统时,并没有一个能彻底解决哈希传递的方法,我们只能减轻这种攻击。
第1步 - 打开并配置PowerShell 我们将在命令行界面上完成大部分安装和设置,这是一种与计算机交互的非图形方式。也就是说,您不是点击按钮,而是键入文本并通过文本从计算机接收反馈。...,我们将通过PowerShell设置一些权限。...这会将脚本传递给iexor Invoke-Expressioncmdlet,cmdlet将执行脚本的内容,运行Chocolatey包管理器的安装脚本。...选择您希望将Python编程环境放在哪个目录中,或者使用mkdir创建新目录,如下所示: mkdir Environments cd Environments 进入您希望环境生存的目录后,可以通过运行以下命令来创建环境...要使用此环境,您需要激活它,您可以通过键入以下命令来调用Scripts目录中的activate脚本: my_env\Scripts\activate 您的提示现在将以您的环境名称作为前缀,在这种情况下,
HellRaiser- 漏洞扫描器使用 Nmap 扫描和关联发现的 CPE 与 CVE。 wafw00f- Waf类型检测识别工具。 远控 gcat- 用gmail充当C&C服务器的后门。...PowerUpSQL- 内部渗透测试,支持 SQL Server 发现、弱配置审计、大规模特权升级以及诸如操作系统命令执行等利用后操作的功能的PowerShell 工具包。...subbrute- 使用开放解析器作为一种代理来规避 DNS 速率限制,同时也是扫描器中最常用的子域名API库。 GSDF- 基于谷歌SSL透明证书的子域名查询脚本。...cupp- 根据用户习惯生成弱口令探测字典脚本。 SuperWordlist- 各种弱口令字典。...脚本 nishang- Nishang - 用于红队、渗透测试和进攻性安全的进攻性 PowerShell,内网信息收集,横向,扫描、获取凭证等ps脚本。
/ping的格式, 所以说命令与脚本的混淆不会发生在powershell中,因为powershell有更安全的机制。 示例2.在PS中执行VB脚本文件 # 执行 ....答: 管道的行为就像一系列连接的管道段一样,沿着管道移动的项会通过每个管道段; 描述:在 PS 中创建管道请使用管道运算符“|”将命令连接在一起,每个命令的输出都将被用作下一命令的输入,与Linux...可以使用此变量来查找可用于 cmdlet 的执行对象。 $False : 包含 FALSE。可以使用此变量在命令和脚本中表示 FALSE,而不是使用字符串”false”。...$Matches : $Matches 变量与 -match 和 -not match 运算符一起使用。...只有在声明参数的作用域(如脚本或函数)中, 此变量才有值。可以使用此变量显示或更改参数的当前值,也可以将参数值传递给 其他脚本或函数。
通过 WMI 事件订阅的持久性可以通过使用常见的 Microsoft 实用程序来实现,因此无需将文件放入磁盘。...Command Prompt 由于所有 Windows 操作系统都包含命令行实用程序 (wmic),因此可以通过命令提示符执行与 WMI 的交互。...脚本的集合,其中包含用于通过 WMI 进行持久性的 PowerShell 脚本。...Rahmat Nurfauzi开发了一个 PowerShell 脚本 ( WMI-Persistence ),它默认使用regsvr32方法执行任意命令,以便从远程服务器运行任意脚本。 ....该脚本使用 WMI 存储库来存储恶意命令,该命令将执行任意脚本、可执行文件或任何其他带有参数的命令。以下函数将检索所有活动的 WMI 事件对象。
1.pth(hash传递) 1.1 PTH简介 哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统,攻击者无须通过解密...user.txt udp 2.3.2.2 ADPwdSpray.py 这个脚本进行口令破解功能,支持TCP和UDP协议,支持明文口令和NTLM hash 使用明文密码: python2 ADPwdSpray.py...@#}" 从user.txt中提取用户名,与passlist.txt中的密码对照成一对口令,进行域认证枚举,登录成功后会输出到sprayed-creds.txt powershell.exe -exec...dcsync从域控制器中获取指定用户的账号和密码散列,如krbtgt 输入如下命令,测试以当前权限是否可以使用dcsync与域控制器进行同步 lsadump::dcsync /dc:WIN-Q2JR4MURGS0...通过Empire下的powerview.ps1脚本查找约束委派账号 powershell.exe -exec bypass -Command "& {Import-Module .
脚本、远程运行powershell脚本、PrintNightmare漏洞提权等多个知识点。...,并且将使用用户名和密码散列来与他的系统进行认证,并将有效载荷执行为可写共享。...该模块通过SMB服务器提供payload,并提供检索和执行生成payload的命令。目前支持DLL和Powershell。...如果目标使用 Internet Explorer 或 Word 文档,则可以通过将 UNC 路径 (\HOST\share\something) 嵌入到网页中来实现。...: 1、使用Kerbeors认证或SMB签名; 2、禁用共享文件给未认证用户所提供的写入权限; 3、确保使用的是NTLMv2密码并增加口令的复杂程度。
VBS脚本调用WMI来模拟psexec的功能,基本上psexec能用的地方,这个脚本也能够使用。...,可对目标主机开放powershell remoting,用作远程连接 条件: 远程连接会有痕迹 本机要开启winRM服务 命令汇总: 列出所有远程信任主机 powershell Get-Item WSMan...实际测试 使用用户名口令远程登陆192.168.40.137,如图1 ? 查看目标主机共享资源,如图1-2 ?...分析 整理下目前掌握的目标主机信息: 目标主机: 1、已获得登陆用户名及口令 2、可以net use连接 3、开放共享C 但是: 1、默认admin$共享关闭,无法使用psexec 2、Task scheduler...at psexec WMIC wmiexec smbexec powershell remoting ... 获得用户名口令,实现远程执行程序仅仅是个开始,内网渗透会很有趣。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
