实例使用场景

优质

小牛编辑

130浏览

2023-12-01

本篇为Powershell攻击指南——黑客后渗透之道系列之实战篇，主要介绍的一些实用的利用方式与利用场景和一些实用工具。

在实际的渗透环境中我们利用Powershell的方式无非两种：

使用编码的方式对Powershell命令进行编码之后运行
远程下载Powershell代码之后直接运行

两种方式各有利弊，第一种比较方便直接编码即可执行，第二种需要到一台拥有公网IP的机器，那么在实际的渗透环境中如何选择就得看具体场景了。下面看看两种实例：

通过编码的方式执行

我们做一个最简单的例子:

使用编码的方式执行whoami命令，我们首先使用下面的命令来进行编码

$command ="whoami"
$bytes =[System.Text.Encoding]::Unicode.GetBytes($command)
$encodedCommand =[Convert]::ToBase64String($bytes)
echo $encodedCommand

这串代码执行完之后就会打印出编码结果，之后直接执行即可powershell.exe -EncodedCommand $encodedCommand

完整过程如下:

搭建小型HTTP服务器

Powershell搭建HTTP服务器在真实的渗透环境中使用率是较高的，比如说我们需要直接的Get一个文件而使用SMB或者FTP是不推荐的，动静太大也较难搭建，而使用HTTP则没有这样的困难，也可以搭建在内网使用Powershell脚本的服务器。
那么很多人会说Python就好了啊，-m SimpleHTTPServer就好了，但是对于Windows操作系统并没有那么的Python环境供你使用，我们需要的是最少的操作做最多的事情，利用Windows自带的软件或文件是我们的最佳选择，所以Powershell是我们的不二之选

HTTPListener-API

那么搭建HTTP服务器也是调用了API，使用到了.Net的API—-HttpListener，我们只需要像这样调用New-Object Net.HttpListener那么我们就可以得到一个.Net对象，下面我们直接看看代码：

# This script will execute in background
start-job {
    $p="c:\temp\"
    # $p = Get-Location 可以获取当前用户的目录，如果这样使用后面的$p改为$p.path
    $H=New-Object Net.HttpListener
    $H.Prefixes.Add("http://+:8889/")
    $H.Start()
While($H.IsListening){
        $HC=$H.GetContext()
        $HR=$HC.Response
        $HR.Headers.Add("Content-Type","text/plain")
        $file=Join-Path $p ($HC.Request).RawUrl
        $text=[IO.File]::ReadAllText($file)
        $text=[Text.Encoding]::UTF8.GetBytes($text)
        $HR.ContentLength64= $text.Length
        $HR.OutputStream.Write($text,0,$text.Length)
        $HR.Close()
}
    $H.Stop()
}

那么代码也不长，直接运行就能在后台运行，Powershell会返回一个任务ID