内网渗透攻防技术-课件【ch08】PowerShell攻击

第8章PowerShell攻击内网渗透攻防技术01PowerShell技术简介PARTONEPowerShell中的基本概念在日常操作中，会有很多重复操作或普通用户很难用鼠标完成的复杂且精细的操作，如优化注册表、设置环境变量等。此时，为了方便用户操作，很有必要使用PowerShell脚本。如同Linux操作系统下的bash脚本一样，PowerShell也有属于自己的脚本。PowerShell脚本又被称为PS1文件，形如test.ps1的文件就是PowerShell脚本。在PS1文件中，每条命令占独立的一行。1PS1文件PowerShell中的基本概念WindowsPowerShellISE（IntegratedScriptingEnvironment，集成脚本环境）是WindowsPowerShell的主机应用程序。在ISE中，可以在单个基于Windows的图形用户界面中运行命令，并编写、测试和调试脚本。ISE提供了多行编辑、Tab自动补全、语法高亮、选择性执行、上下文相关帮助及对从右到左语言的支持（如阿拉伯语和希伯来语）等功能。WindowsPowerShellISE的工作界面如图8-2所示。WindowsPowerShellISE2PowerShell中的基本概念3执行策略PowerShell中有执行策略的概念。为了防止恶意脚本被执行，PowerShell中的执行策略默认为“受限”，即不允许脚本执行。想要知道当前的执行策略，可以输入如下命令。可以看到，由于这台主机上没有执行过PowerShell脚本，因此PowerShell中的执行策略为Restricted（受限）。PowerShell中有4种执行策略。（1）Restricted：受限（默认设置），不允许脚本执行。（2）RemoteSigned：可以执行本地脚本，或者执行从网络上下载的带有数字证书签名的脚本。（3）AllSigned：仅当脚本由受信任的发布者签名时才能执行。（4）Unrestricted：允许所有脚本执行。PowerShell中的基本概念4执行脚本想要执行PowerShell脚本，必须输入完整的路径和文件名。例如：如果当前需要执行的脚本恰好位于当前目录下，则可以直接在脚本之前输入“.\”来执行脚本。例如：PowerShell中的基本概念5管道管道的作用是将一个命令的输出作为另一个命令的输入，以符号“|”连接。管道的基本结构是“命令A|命令B”，意思是将命令A的输出作为命令B的输入。例如：其中，get-processp*表示获取以字符“p”开头的程序，stop-process表示关闭程序，因此，上述命令的含义是关闭所有以字符“p”开头的程序。PowerShell中的常用命令PowerShell中的所有命令都采用“命令+数据”的形式，下面举例说明。（1）新建文件，命令如下。（2）新建目录，命令如下。（3）显示文本内容，命令如下。（4）设置文本内容，命令如下。（5）追加文本内容，命令如下。（6）清除文本内容，命令如下。02PowerSploitPARTTWO安装PowerSploit安装PowerSploit安装PowerSploitPowerSploit脚本攻击实战（1）在Metasploit控制台中依次输入如下命令。使用exploit/multi/handler模块进行监听，并设置攻击者的IP地址和端口，以便接收目标系统反弹回来的连接。完成设置后，启动监听器，准备接收反向连接。设置情况如图8-11所示。（2）输入如下命令，使用reverse_https模块生成一个PowerShell木马，执行结果如图8-12所示。直接使用ShellCode反弹MeterpreterShell1PowerSploit脚本攻击实战直接使用ShellCode反弹MeterpreterShell1PowerSploit脚本攻击实战（3）在目标主机的PowerShell中输入如下命令：下载CodeExecution模块下的Invoke-Shellcode脚本，执行结果如图8-13所示。由于IEX会直接执行加载的脚本代码，因此不会产生回显结果，除非脚本内部存在输出或打印的代码。直接使用ShellCode反弹MeterpreterShell1PowerSploit脚本攻击实战（4）输入如下命令，下载木马。（5）在目标主机的PowerShell中输入如下命令，其中Force表示无须提示，直接执行就可以加载并执行木马，反弹Shell回到攻击者MSF中提供远程控制访问。直接使用ShellCode反弹MeterpreterShell1PowerSploit脚本攻击实战（6）返回MSF的监听界面，发现已经反弹成功，如图8-14所示。直接使用ShellCode反弹MeterpreterShell12指定进程注入ShellCode反弹MeterpreterShellPowerSploit脚本攻击实战（1）在目标主机的PowerShell中输入如下命令，下载Invoke-Shellcode脚本和木马。（2）使用GetProcess或ps命令查看当前进程，执行结果如图8-15所示。2指定进程注入ShellCode反弹MeterpreterShellPowerSploit脚本攻击实战（3）输入如下命令，创建一个隐藏进程，并查看进程，执行结果如图8-16所示。2指定进程注入ShellCode反弹MeterpreterShellPowerSploit脚本攻击实战（4）输入如下命令，使用Invoke-Shellcode脚本进行进程注入。（5）返回MSF的监听界面，发现已经反弹成功，如图8-17所示。PowerSploit脚本攻击实战Invoke-DllInjection脚本3（1）输入如下命令，下载Invoke-DllInjection脚本。（2）输入如下命令，在KaliLinux虚拟机中生成一个DLL注入脚本。（3）输入如下命令，将test.dll上传到目标主机的C盘。PowerSploit脚本攻击实战Invoke-DllInjection脚本3（4）输入如下命令，创建一个名为notepad.exe的隐藏进程进行DLL脚本注入，执行结果如图8-18所示。（5）返回MSF的监听界面，使用reverse_tcp模块反弹Shell，可知已经反弹成功。PowerSploit脚本攻击实战Invoke-Mimikatz脚本4（1）输入如下命令，下载Invoke-Mimikatz脚本。（2）输入如下命令，抓取哈希密码，执行结果如图8-19所示。PowerSploit脚本攻击实战Get-Keystrokes脚本5（1）输入如下命令，下载Get-Keystrokes脚本。（2）输入如下命令，抓取键盘记录，执行结果如图8-20所示。PowerUp攻击模块详解Invoke-AllChecks1Invoke-AllChecks模块会自动执行PowerUp中所有的攻击模块来检查目标主机。执行如下命令。执行结果如图8-23所示。从图8-23中可以看到，PowerUp列出了所有可能存在问题的服务，并在AbuseFunction列中直接给出了可利用的方式。PowerUp攻击模块详解Find-PathDLLHijack2Find-PathDLLHijack模块用于检查当前%PATH%的哪些目录是可以写入的。执行如下命令。执行结果如图8-24所示。PowerUp攻击模块详解Get-ApplicationHost3Get-ApplicationHost模块可以利用系统中的applicationHost.config文件恢复加密过的应用池和虚拟目录的密码。执行如下命令。Get-RegistryAlwaysInstallElevated4Get-RegistryAlwaysInstallElevated模块用于检查AlwaysInstallElevated注册表是否已被设置。如果该注册表已被设置，则意味着MSI文件是以SYSTEM权限运行的。执行如下命令。PowerUp攻击模块详解Get-RegistryAutoLogon5Get-RegistryAutoLogon模块用于查找所有注册表中剩余的任何自动登录账户/凭据，以及检查是否在多个注册表位置设置了任何自动登录账户/凭据。如果是，则会提取凭据并将其作为自定义PSObject返回。执行如下命令。Get-ServiceDetail6Get-ServiceDetail模块用于返回某个服务的信息。执行如下命令。PowerUp攻击模块详解Get-ServiceFilePermission7Get-ServiceFilePermission模块用于检查当前用户能够在哪些服务的目录下写入相关联的可执行文件，可以通过这些文件实现提权。执行如下命令。Test-ServiceDaclPermission8Test-ServiceDaclPermission模块用于检查所有可用的服务，并尝试对这些打开的服务进行修改。如果服务可修改，则返回该服务对象。执行如下命令。PowerUp攻击模块详解Get-ServiceUnquoted9Get-ServiceUnquoted模块用于检查服务路径，返回包含空格但不带引号的服务路径。此处利用了Windows操作系统中的一个逻辑漏洞，即当文件路径中包含空格时，WindowsAPI会将其解释为两个路径，并同时执行这两个文件，有时可能会造成权限的提升，比如C:\programfiles\hello.exe会被解释为C:\program.exe和C:\programfiles\hello.exe。执行如下命令。PowerUp攻击模块详解Get-UnattendedInstallFile10Get-UnattendedInstallFile模块用于检查以下路径，查找是否存在这些文件，因为这些文件里可能含有部署凭据。这些文件包括：PowerUp攻击模块详解Get-ModifiableRegistryAutoRun11Get-ModifiableRegistryAutoRun模块用于检查开机自启动的应用程序路径和注册表键值，返回当前用户可修改的应用程序路径。被检查的注册表键值如下。PowerUp攻击模块详解Get-ModifiableRegistryAutoRun11执行如下命令。PowerUp攻击模块详解Get-ModifiableScheduledTaskFile12Get-ModifiableScheduledTaskFile模块用于返回当前用户能够修改的计划任务程序的名称和路径。执行如下命令。Get-Webconfig13Get-Webconfig模块用于返回当前服务器上web.config文件中数据库连接字符串的明文。执行如下命令。PowerUp攻击模块详解Invoke-ServiceAbuse14Invoke-ServiceAbuse模块通过修改服务来添加用户到指定组，并通过设置-cmd参数来触发添加用户的自定义命令。执行如下命令。PowerUp攻击模块详解Restore-ServiceBinary15Restore-ServiceBinary模块用于恢复服务的可执行文件到原始目录。执行如下命令。PowerUp攻击模块实战演练1准备渗透环境准备Windows7虚拟机和KaliLinux虚拟机各一台，其中KaliLinux虚拟机已经正常安装PowerSploit，两台虚拟机均使用NAT模式连接网络，以保证两台虚拟机之间可以相互通信。在KaliLinux虚拟机上准备好Apache2服务，安装步骤与8.2.1节中的安装步骤相同。按照8.2.1节中的操作安装PowerSploit后，可以通过Apache2访问PowerSploit文件内容，如图8-30所示。PowerUp攻击模块实战演练2准备宿主机进入宿主机界面，以管理员身份打开WindowsPowerShell(x86)，如图8-31所示，以便获取和执行脚本。PowerUp攻击模块实战演练3准备MSFPowerSploit其实也是MSF中的一个攻击模块，因此需要先准备MSF来运行PowerSploit。回到KaliLinux虚拟机，输入msfconsole命令，开启MSF，其启动界面如图8-32所示。由于每次开启MSF时都会随机生成一幅字符组成的图画，因此启动界面可能会有所不同。PowerUp攻击模块实战演练PowerUp攻击4首先将目光转移到宿主机上，在之前打开的PowerShell界面中输入如下命令。PowerUp攻击模块实战演练PowerUp攻击4PowerUp攻击模块实战演练PowerUp攻击4PowerUp攻击模块实战演练PowerUp攻击4PowerUp攻击模块实战演练PowerUp攻击4PowerUp攻击模块实战演练PowerUp攻击403EmpirePARTTHREEEmpire简介Empire是一个强大的开源渗透测试工具，旨在模拟内网渗透和持久性控制的各种攻击场景。它具有模块化的设计，使渗透测试人员可以轻松地执行多种攻击操作。（1）模块化设计。Empire拥有丰富的功能模块，包括执行代码、实施钓鱼、权限提升、横向移动等。这些模块可以根据需要组合使用，使渗透测试人员能够自定义攻击方案。（2）支持多种通信协议。Empire支持多种通信协议，包括HTTP、HTTPS、TCP、DNS等，这使得它能够适应不同的网络环境。（3）脚本化和自动化。Empire使用Python语言编写，允许用户编写自定义脚本和自动化任务，以适应特定的应用场景。（4）持久性和控制。Empire的持久性使攻击者能够在目标系统中维持长期控制而不被发现。（5）多平台支持。Empire支持多种操作系统，包括Windows、Linux和macOS，这使得它能够适用于多种目标系统。（6）交互式Shell。Empire提供了一个强大的交互式Shell，允许渗透测试人员在目标系统中执行命令和脚本。（7）模块化载荷生成器。Empire具有灵活的载荷生成器，可以生成不同类型的攻击载荷，用于绕过安全防护和检测。Empire的安装设置监听指令设置监听指令生成后门指令1launcher_bat后门生成后门指令2DLL后门3launcher_vbs后门连接主机指令在目标主机反弹成功后，可以使用agents命令列出当前已连接的主机。这里需要注意的