声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。...它也在 PowerShell 中实现,这意味着我们在 PowerShell 中运行的任何命令和脚本都会首先传递到 AMSI 进行检测,然后传递到主防病毒引擎。 什么是amsi.dll?...AMSI AmsiOpenSession 绕过 AmsiOpenSession 是 amsi.dll 文件提供的函数,作为 Windows 中反恶意软件扫描接口 (AMSI) 的一部分。...例如,应用程序可以设置会话的上下文以指定正在扫描的数据的内容类型,例如脚本或二进制数据。...让我们首先反汇编 AmsiOpenSession 函数amsi.dll: 有一个测试指令,它基本上在它自己(rcx,rcx)之间执行按位与运算,如果结果为零,则设置零标志(ZF = 1)。
通过命令行传递给Powershell的代码基本上是base64编码的,并用gzip压缩的,只有尾部一小部分没有编码。...第二阶段Powershell 第一阶段中的IEX执行Powershell脚本后,Talos团队开始观察到感染设备上出现了一写比较有趣的活动。...第四阶段payload并不能自主执行,如果仅尝试执行第四段payload,就会失败,因为第四段payload依赖于第三段Powershell脚本中的解码函数。 ? 这个函数还有其他几个功能。...这个函数会用DNS查询响应结果中获得的代码,定义一个包含该代码的字符串变量。然后,第三阶段中的解码函数会被调用,并将解码的字符串传递给IEX,来扩展Powershell环境。...第四阶段payload尾部调用了其中的“cotte”函数,该函数提供了其他一些参数,包括将用到的C2域和将执行的程序(cmd.exe)。
优缺点: 比较节省内存,可能管道的某个任务还在执行,但是已经有部分结果输出了,减少了中间结果的保存。...ETS由两部分组成: 一部分控制对象的版式: 需要创建一个.ps1xml的配置文件 一部分控制对象的属性: 在管道中将对象结果转换成文本后,不能再将文本转换成对象,因为ETS不能处理文本。...$Input : 一个枚举数,它包含传递给函数的输入。$Input 变量区分大小写,只能用于函数和脚本块。(脚本块本质上是未命名的函数。)...只有在声明参数的作用域(如脚本或函数)中, 此变量才有值。可以使用此变量显示或更改参数的当前值,也可以将参数值传递给 其他脚本或函数。...# 表达式 结果 # 3+6/3*4 11 # 3+6/(3*4) 3.5 # (3+6)/3*4 12 - PowerShell 计算表达式的顺序可能不同于你使用的其他编程和脚本语言 在此示例中
这一部分着重于介绍Powershell的程序知识,让我们能够编写功能强大的Powershell脚本,执行比较复杂的任务。 变量 变量使用$变量名创建和引用。...比方说,我们将Get-Location命令的结果通过管道传递给Get-Member命令,就会显示下面的输出。如果不了解.NET的话,可能感觉比较陌生。...,或者将几个子部分组合为一个字符串。...n>和n>>运算符就是用于将对应级别的输出重定向到文件的,这两者的区别和前面相同。n>&1将对应级别的输出和标准输出一起重定向到文件。 最后就是*>和*>>了,这两者将所有输出信息重定向到文件。...Add -a 3 -b 5 关于Powershell编程的知识就介绍到这里,其实如果看看官方文档的话,就知道这里介绍的也仅仅是一部分而已。不过这一部分对于我们日常使用和学习基本上也够用了。
-AllUsers:这个参数意味着它会列出系统上所有用户安装的应用,而不仅仅是当前用户的应用。 | Foreach { ... } | (管道符):将前面的命令的输出结果作为后面命令的输入。...| Reset-AppxPackage | (管道符): 将前面的命令结果作为后续命令的输入。 Reset-AppxPackage: 此 cmdlet 是一个用于重置已安装的 AppX 包的命令。...然后,将获取到的信息传递给 Reset-AppxPackage 命令,使得该应用通过重置操作回到其默认状态。...报错 Reset-AppxPackage : 无法将“Reset-AppxPackage”项识别为 cmdlet、函数、脚本文件或可运行程序的名称。...版本: 确保你使用的是 Windows PowerShell,而不是其他终端。
的一些特性 Powershell对命令行和脚本环境添加了许多新的功能,以此来改善Powershell的管理和脚本脚本交互能力,想对于其他的命令脚本,Powershell有以下特性。...Get-Help Get-Service 如果要查看该输出结果的成员信息,比如该输出结果有哪些成员,方法,返回类型等,可以通过管道运算符(|)将其执行结果传递给Get-Member,如输入以下命令可以查看...,exe,dll外部,在企业级实战部分会介绍到)。...除此之外,Powershell还可以调用外部的.ps1脚本文件,也可以在脚本中创建自己的函数。...即使是在 PowerShell 中运行传统命令行工具,也可以使用 PowerShell 的帮助功能。PowerShell 将对参数进行处理并将结果传递给外部工具。
使用类似但是不同的是它传递的数据不是文本而是对象; 管道中的每个命令(称为管道元素)将其输出逐项传递到管道中的下一个命令 传统的Cmd管道是基于文本的,但是Powershell是基于对象。...优缺点: 比较节省内存,可能管道的某个任务还在执行,但是已经有部分结果输出了,减少了中间结果的保存。...ETS由两部分组成: 一部分控制对象的版式: 一部分控制对象的属性: 在管道中将对象结果转换成文本后,不能再将文本转换成对象,因为ETS不能处理文本。...$Input : 一个枚举数,它包含传递给函数的输入。$Input 变量区分大小写,只能用于函数和脚本块。(脚本块本质上是未命名的函数。)...只有在声明参数的作用域(如脚本或函数)中, 此变量才有值。可以使用此变量显示或更改参数的当前值,也可以将参数值传递给 其他脚本或函数。
管道 管道允许你将一个命令的输出直接传递给下一个命令作为输入。这种机制使得数据处理变得更加高效和简洁。 符号:在PowerShell中,管道由竖线符号(|)表示。...数据流:管道将前一个命令的输出传递给下一个命令的输入。 对象传递:与传统的命令行不同,PowerShell管道传递的是对象而不是文本。这意味着可以在管道中处理复杂的数据结构。...管道的优点 简洁性:通过将多个命令链接在一起,减少了中间变量的使用。 可读性:使脚本更容易理解和维护。 效率:通过对象传递,减少了数据的转换和解析。...模块 PowerShell模块是用于组织和分发PowerShell功能的单元。它们可以包含函数、脚本、Cmdlet、变量和其他资源。...在更改执行策略时,应考虑到脚本来源的安全性。 8.远程管理 PowerShell远程管理是通过网络执行命令和脚本的功能,通常用于管理远程计算机。
" -Arguments "-Command In 有效负载将在启动期间传递到目标主机上。.../WMI-Persistence.ps1 Install-Persistence 该脚本包含一个查看 WMI 对象的函数,以确保已正确创建任意类。...然而,其他命令和控制框架(例如 PoshC2)具有类似的功能,并且可以捕获 regsvr32 有效负载。 PowerLurk是另一个支持五个触发器的 PowerShell 脚本。...该脚本使用 WMI 存储库来存储恶意命令,该命令将执行任意脚本、可执行文件或任何其他带有参数的命令。以下函数将检索所有活动的 WMI 事件对象。...事件,并自动将修改的 WMI 对象的结果返回到控制台屏幕上以供验证。
第一层 第一层去混淆由 ejv()完成,该函数将混淆数据的每个字符保存在数组中,执行算术运算进行解密。...△ 解密函数 紧接着继续解密: △ 解密函数 第二层 其余加密内容在第二层进行解密,将 ejv()解密的结果传递给解密函数。 去混淆的结果包含另一个解密函数 Ox$(),这是第三层解密函数。...△ 解密函数 第三层 第三层去混淆的结果是另一个混淆函数,包含多个函数调用来进行解密: △ 部分混淆恶意代码 在分析另一个发现的 JavaScript 脚本时,与首次发现的不相同。...△ 部分混淆恶意代码 第四层 第四层是最后一层,在去混淆后可以发现这些代码不仅仅是一个 Downloader,还具有其他功能。...这个包含 Payload 的字符串,连同一个包含注入 .NET 程序 DLL 模块的字符串,一同被传递给函数 H2 转换为二进制字节数组。
-Full # 3.如果需要在单独的窗口中显示帮助,建议使用 Online 参数或 Full 参数,并通过管道将结果传递给 Out-GridView; help Get-Command -Full...Bypass: 没有任何阻止也没有警告或提示;此执行策略设计用于将PowerShell脚本内置到更大的应用程序中的配置,或者用于以PowerShell为具有自己的安全模型的程序的基础的配置。...参数集 可用于相同的命令中以执行特定操作的一组参数。 管 在 PS 中,将前一个命令的结果作为输入发送到管道中的下一个命令。...管道 一系列由管道运算符 (` `) (ASCII 124) 连接的命令。 每个管道运算符将前一个命令的结果作为输入发送到下一个命令。...脚本模块文件具有 .psm1 文件扩展名。 shell 用于将命令传递到操作系统的命令解释器。 开关参数 一个不带实参的形参。 终止错误 阻止 PS 处理命令的错误。
例如,可以将恶意负载的不同片段关联起来做出更明智的决定,而仅通过单独地查看这些片段就很难做出决定。 AMSI 功能已集成到 Windows 10 的这些组件中。...脚本(恶意或其他)可能会经过多次去混淆。但您最终需要为脚本引擎提供简单、未混淆的代码。这就是调用 AMSI API 的地方。...创建 PowerShell 进程后,AMSI.DLL 将从磁盘加载到其地址空间。 在 AMSI.DLL 中,有一个称为 AmsiScanBuffer() 的函数,本质上是用于扫描脚本内容的函数。...在 PowerShell 命令提示符中,任何提供的内容将首先发送到 AmsiScanBuffer(),然后再执行。...那么问题就是在这里,amsi在脚本解密到注入内存之前去扫描查杀。这才是调用amsi的意义。
现在则可以直接使用PowerShell脚本编写。 步进式管道:可以认为这种管道一次只传输一个元素。 数据区:数据区可以将脚本的数据与逻辑分隔开,除了易于管理外,还可以用来构建支持国际化的脚本。...脚本调试:可以在“行、列、函数、变量和注释”上设置断点。 打包操作符:可以使用@操作符来将一组键值对当成单一参数进行传递。 PowerShell ISE:“集成脚本环境”是一个轻量级的IDE。...它由三部分组成,最上面的部分用来编辑脚本,下面的部分则像PowerShell提示符一样,用来执行即 时命令。...模块:模块将代替snap-in来创建可重用的cmdlet、script和provider库。与snap-in需要安装不同,你可以简单的将模块拷贝到用户级或系统级目录下,然后就可以在脚本中直接调用了。...事件:可以将WMI和CLR事件发送到事件队列中或直接绑定到一个动作上。 事务:PowerShell已经拥有了一个事务框架,但是目前只支持针对注册表的Provider。
升级powershell版本 win7自带的powershell版本较低,这里将windows 7 sp1里自带的powershell升级到5.1版本。...在对管道中的每个对象或所选对象执行操作的命令中,可以使用此变量。 $Args 包含由未声明参数和/或传递给函数、脚本或脚本块的参数值组成的数组。...$Input 一个枚举数,它包含传递给函数的输入。$Input 变量区分大小写,只能用于函数和脚本块。(脚 本块本质上是未命名的函数。)...通过此变量,脚本可以使用模块路径来访问其他资源。 $PsVersionTable 包含一个只读哈希表,该哈希表显示有关在当前会话中运行的 Windows PowerShell 版本的详 细信息。...$script 脚本变量,只会在脚本内部有效,包括脚本中的函数,一旦脚本运行结束,这个变量就会被回收。 $private 私有变量,只会在当前作用域有效,不能贯穿到其他作用域。
PS支持别名以通过备用名称引用命令(Get-Alias获取别名),别名将新名称与其他命令关联。 例如,PS 具有名为 Clear-Host 的内部函数,该函数清空输出窗口。...动态参数 在某些情况下添加到 PS cmdlet、函数或脚本的一个参数。 Cmdlet、函数、提供程序和脚本可以添加动态参数。...参数集 可用于相同的命令中以执行特定操作的一组参数。 管 在 PS 中,将前一个命令的结果作为输入发送到管道中的下一个命令。...管道 一系列由管道运算符 (` `) (ASCII 124) 连接的命令。 每个管道运算符将前一个命令的结果作为输入发送到下一个命令。...脚本模块文件具有 .psm1 文件扩展名。 shell 用于将命令传递到操作系统的命令解释器。 开关参数 一个不带实参的形参。 终止错误 阻止 PS 处理命令的错误。
本文将探讨如何利用 PowerShell 的高级功能,如动态函数定义、反射、文件系统监控以及并行处理,来增强渗透测试的效率和效果。...3.执行脚本块: & $function "World" 这一行使用调用操作符&执行之前创建的脚本块$function,并传递参数「World」给这个脚本块。...&是 PowerShell 中用于执行脚本块、函数或文件的操作符。这里,它被用来执行$function,并传入「World」作为$name参数的值。...AddScript({})方法添加一个脚本块到这个 PowerShell 实例。这个脚本块接受一个参数param,然后使脚本休眠param秒,最后输出一个字符串显示休眠了多少秒。...BeginInvoke()方法开始异步执行,并返回一个 handle(句柄),这个句柄可以被用来监控脚本的执行状态或获取执行结果。
psinject:将非托管的 PowerShell 注入到一个特定的进程中并从此位置运行命令。 powershell-import:导入 PowerShell 脚本到 Beacon 中。...直接运行 powershell-import + 脚本文件路径即可,但是这个脚本导入命令一次仅能保留一个 PowerShell 脚本,再导入一个新脚本的时候,上一个脚本就被覆盖了,因此可以通过导入一个空文件来清空...0x02 会话传递 会话传递相关命令 Beacon 被设计的最初目的就是向其他的 CS 监听器传递会话。 spawn:进行会话的传递,也可直接右击会话选择spawn命令进行会话的选择。...\file.dll] 来在另一个进程中加载磁盘上的 DLL文件。 会话传递使用场景 1、将当前会话传递至其他CS团队服务器中,直接右击spawn选择要传递的监听器即可。...2、将当前会话传递至MSF中,这里简单做一下演示。
是开放的,因此任何AV都可以从其函数中读取数据,在这里正在运行一个Windows脚本,当它通过AMSI时,amsi.dll被注入到与我们程序相同的虚拟内存中,这个amsi.dll有各种可以评估代码的函数...,这些功能可以在这里找到,但是实际扫描任务由这两个函数执行 AmsiScanString() AmsiScanBuffer() 如果代码是干净的则结果最终会传递给AV提供程序类,然后使用RPC调用从那里传递给...AMSI阻止了它,您可以将您的powershell版本降级到2.0,因为AMSI仅在v2.0之后受支持,首先您可以看到我们的关键字被amsi屏蔽了 之后检查当前PS版本,然后降级到版本2并再次运行这些被阻止的命令...在他的推文中谈到了绕过AMSI的方法,如果在上述场景中启动AMSI扫描,则存在一个名为amsiInitFailed()的函数,该函数将抛出 0,这种绕过基本上是为amsiInitFailed分配一个布尔...,在某些方法中使用字节码,在其他方法中替换函数或替换字符串,但逻辑相同 Method 4: Powershell内存劫持 Daniel Duggan在他的博客中介绍了关于绕过AMSI的内存劫持技术,逻辑是
在本文中,我们的实验是一个通过PowerShell进行的AMSI测试示例,测试过程是当AMSI模块接受外部传进来的脚本块并将其传递给Defender进行分析的时候进行劫持操作,具体可见下图所示: 正如你所看到的...该函数解析完成后(部分通过注册表CLSID查找)以及定位到COM服务器后,服务器的导出函数“DllGetClassObject()”将被调用。...在进行研究之前,我们需要明白的是:基本上,脚本解释器(如PowerShell)从工作目录加载amsi.dll,而不是从安全路径(如System32)加载它。...由于这个原因,我们可以将PowerShell.exe复制到我们可以写入的目录,并 将易受攻击的amsi.dll版本放到这个目录中。...当PowerShell启动时,您将注意到没有任何条目出现: 接下来,我们删除易受攻击的AMSI DLL并将PowerShell移动到同一目录。
新的cmdlet、操作符和变量,再加上诸如脚本调试以及后台任务这样的新功能,PowerShell 2.0将帮助你开启PowerShell脚本编程的新世界。 ...我最喜欢的就是“Out-GridView”;这个cmdlet可以通过一个交互式的表格来显示其它命令的结果,这样你就可以对所显示的数据进行分类和搜索了。...“Try-Catch”部分的代码完成之后,你还可以选择性地执行“Finally”代码段。 ...新的PowerShell宿主API致力于将PowerShell的功能拓展到其它产品中,通过它可以方便地在应用程序中嵌入PowerShell。 ...脚本调试——PowerShell 2.0的另一个重要的改进就是它增强的调试功能。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
