我们在分析服务器日志时,发现了两个由攻击者创建的计划任务,这两个任务都会运行恶意的PowerShell脚本。...攻击者使用这两个调度任务作为持久性方法,因为计划任务会反复运行这两个PowerShell脚本,不过运行的时间间隔不同。下图显示的是这两个任务及其相关的创建时间、运行间隔和执行的命令。...但是,我们知道攻击者在其他系统上安装Snugy样本时,攻击者使用的是批处理脚本来创建名为SystemDataProvider和CacheTask的计划任务。...比如说,下面的批处理脚本将创建并运行名为SystemDataProvider的计划任务,并最终运行名为xpsrchvw.ps1的Snugy样本: schtasks /create /sc MINUTE...下图显示的一封包含演示命令的邮件,主题为555,邮件内容为woFyeWt3cw==,该脚本将通过PowerShell执行: 为了运行攻击者提供的命令,PowerShell脚本需要登录到Exchange服务器上的合法电子邮件帐户
解压后文件夹内包含两个文件:AutoSPSourceBuilder.ps1为我们需要运行的PowerShell 脚本(用于下载资源),而AutoSPSourceBuilder.xml中则包含了需要下载资源的链接...根据上面代码,将加载在我E:盘中的SharePoint 2013解压到C:\SP\2013\SharePoint。...而Prerequisites将被下载到:$Destination\SharePoint\PrerequisiteInstallerFiles,即 C:\SP\2013\SharePoint\PrerequisiteInstallerFiles...当然,你也可以缺省一些参数,使用默认的参数也是可以的,以我安装SharePoint 2013 Server为例,安装之前运行如下PowerShell: ?...后续 当然你也可以,将其他的更新文件放入对应的文件夹中,利用AutoSPInstaller.ps1安装SharePoint 2013时,会自动去这些文件夹中安装相关的文件。 ?
威胁行为者要加密SharePoint和OneDrive文件的前提条件是破坏Office 365 帐户,这很容易通过网络钓鱼或恶意OAuth应用程序完成。...劫持帐户后,攻击者可以使用Microsoft API和PowerShell脚本自动对大型文档列表执行恶意操作。...要更快地完成文件锁定并使恢复变得更困难,威胁行为者会通过减少版本编号限制并加密所有超过该限制的文件。此任务不需要管理权限,可以从任何被劫持的帐户完成。...研究人员举例说,对手可以将文件版本数减少到“1”,并对数据进行两次加密。由于文件版本限制设置为“1”,当攻击者对文件进行两次加密或编辑时,原始文档将无法通过OneDrive获得,也无法恢复。...另一种方法是使用自动脚本编辑文件501次,这超过了OneDrive存储文件版本的最大500次限制。虽然这种方法更张扬,可能会触发一些警报,但它仍然是一种有效的方法。
直接PowerShell ISE上执行 使用PowerShell ISE,打开保存的脚本文件,直接在上面执行即可。...使用CMD或PowerShell控制台执行 可以在控制台上引用文件路径,也可以执行PowerShell脚本。 此处需要在脚本文件前加个点号。...使用任务计划的方式定时执行 我们更想要的真正自动化执行是定时给我们去执行代码,用Windows的任务计划就可以非常简单地完成定时任务。...因为PowerShell.exe的所在文件夹已经有环境变量了,所以直接给出程序名就可以。当然全路径也是可以的。...,例如执行完PowerShell脚本后,下一步再执行其他任务。
在单台服务器上安装了 SharePoint Server 2013,并且创建了具有默认搜索拓扑的 Search Service 应用程序。在默认搜索拓扑中,所有搜索组件都位于承载管理中心的服务器上。...下图是我去年实施的一个SharePoint Farm,将Database和SharePoint的分离: ?...其中查询处理组件用来处理用户的请求,我将他部署在WFE服务器上,同时为了提高性能和效率,我也将索引组件部署在了WFE服务器上。...删除不必要的搜索组件。 再次激活搜索拓扑。 完整的PowerShell如下: Add-PSSnapin Microsoft.SharePoint.PowerShell # 1....脚本之后,即更改了默认的搜索拓扑,进入Central Administration一看究竟: ?
这篇介绍简单介绍一下SPSD工具包(因为官网已经有非常详细的讲解),接着是附录了一些常用的PowerShell脚本,用于我在部署的时候快速导入css、js、images、设置MasterPage、创建权限组...SharePoint Solution Deployer(SPSD)能快速帮助程序员部署WSP,使用SPSD也是非常简单的,首先下载最新的工具:http://spsd.codeplex.com/。...怎样使用SPSD 对于一般的部署,基本什么都不用改,直接将WSP拖入Solutions文件夹即可。 下载最新的SPSD,解压,然后解锁,如下: ?...附录四:创建Group ,并将人员加入Group,最后分配权限到指定的Web(关键代码) 创建SharePoint Group ? 调用方法将人员加入组 ?...为组分配权限并添加到相关的WebSite中 ? 小结 SharePoint的部署是件麻烦事,身边常备一些常用的PowerShell可以提高部署的效率。
0x01:过程 从攻击的角度来看,可以滥用此功能,以便在受感染的主机上下载有效负载(可执行文件,PowerShell脚本,Scriptlet等)并在给定时间执行这些文件,以在红色团队操作中保持持久性...执行以下命令会将恶意有效负载从远程位置下载到本地目录。...Bitsadmin –文件传输 还有一个PowerShell cmdlet可以执行相同的任务。...BitsTrasfer –传输文件PowerShell 将文件放入磁盘后,可以通过从“ bitsadmin ”实用程序执行以下命令来实现持久性。...持久性—BITS Jobs 当作业在系统上运行时,有效负载将被执行,Meterpreter会话将打开,或者通信将被接收回命令和控制(取决于场合中使用的C2)。 ?
申请需知 支持升级到OneDrive 25T的订阅如下: Office 365 企业版 E3 Office 365 企业版 E5 OneDrive for Business 计划 2 SharePoint...对于已使用25 TB OneDrive存储空间的至少90%的任何用户,将向各个用户分配25TB SharePoint团队网站作为额外的云存储空间。此额外存储空间以额度方式提供给组织。...这里估计有人会觉得复制粘贴很慢,其实要是网络好的话,随便上传个几十M的文件复制粘贴,十几分钟就可以做到从0到4.5T。 然后管理员登录后台→传送门,点击左侧支持-新建服务请求。...提示:如果用PowerShell操作失败的,可以使用SharePoint Online Management Shell操作。...,将后面的地址改成你要修改的OneDrive网盘地址,地址仿照下面的即可 Set-SPOSite -Identity https://moerats-my.sharepoint.com/personal
之后,将前一步从轻量COS上下载的Saved文件夹复制到这里。 4.6 重新启动游戏进程。通过开始菜单或搜索框内打开powershell,运行下面的命令,重启游戏。...3.6 登陆轻量云控制台,进入存储桶的备份目录,发现文件已经成功备份到轻量COS。 4. 定时备份 4.1 通过【开始】菜单搜索 Task,打开【任务计划程序】。...在【程序或脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在的路径路径。 4. 完成以上设置,点击确认,创建定时任务。 5....点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。 6. 单击【任务计划程序库】,可以查看当前已设置的定时任务。...在弹窗中选择【复制带签名的临时链接】,复制下面的URL。 5.3 进入windows服务器,将URL粘贴到浏览器中,直接将备份文件下载到服务器上。 5.4 解压缩备份文件,复制 Saved文件夹。
3、PowerShell优点 ● 整体界面更加美观大方易用 ● 命令参数自动补全,大大提升了代码编写效率 ● powershell属于自然语言,可读性高,比较容易理解和学习 ● 可以轻松地自动化任务和脚本编写...● 支持多种编程语言,包括 C#、VB.NET 和 PowerShell,可以快速编写和重用现有的代码。 ● 能够安全地执行命令和脚本,保障系统和数据的安全性。...官方文档:https://learn.microsoft.com/zh-cn/powershell/ 4、PowerShell使用场景 PowerShell是一种Windows操作系统的命令行脚本语言,...也可以编写成脚本文件,用途非常广泛。...简单介绍如下: ● 广泛应用于Windows服务器、企业管理、自动化脚本开发等领域。 ● 可以帮助管理员进行系统配置、文件操作、程序管理、网络管理、安全设置等任务。
它可被用于执行各种任务,其中包括以命令行提示的方式进行交互,以及通过脚本程序进行自动任务执行。...使用Azure PowerShell的主要优点就是,用户可通过使用PowerShell脚本程序自动重复执行Azure任务。 Azure PowerShell强健如Unix shell。...开始学习Azure PowerShell的一个好方法就是使用这些cmdlet。微软公司还在其脚本程序中心维护着一个Azure脚本程序库。...虽然PowerShell的 cmdlet只能在Windows操作系统上运行,但是xplat-cli则允许非windows虚拟管理员在其它不同操作系统上使用Azure资源,其中包括:Linux、Windows...如果你是一名Office 365的用户或者如果你已订阅了微软在线服务,那么你就可以下载这个工具并开始管理和配置Exchange Online、SharePoint以及Office应用程序的权限管理功能。
使用一些提权的powershell脚本,脚本弹出了一个新的cmd窗口,但是数据不通过cs,只能通过远程桌面操作,但是不能直接RDP 然后我们可以通过命令让目标下载anydesk powershell (...,所以最好是找到域用户有写权限的文件夹 可以看到我们已经将文件下载了下来(由于是模拟环境就随便点,真实环境下别下载到桌面) ?...然后将四个文件保存下来,然后上传到目标的主机,上传完后把此处的配置文件全部删除,目的是让anydesk生成一个新的配置 由于我们还没有在目标主机打开过anydesk,所以要自己新建一个AnyDesk文件夹...,然后将文件复制进去 ?...,可以使用计划任务执行,如果要使用计划任务,首先要知道当前用户是谁 powershell "(((Get-WmiObject -Class Win32_Process -Filter 'Name=\"explorer.exe
攻击特征 1.病毒会创建计划任务持续使用PowerShell.exe下载其他恶意程序。 2.病毒运行挖矿程序占用计算机资源,影响正常使用。 3.病毒运行木马程序用于自身持久化驻留和操控计算机。...运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天固定时间点自动向XX.beahh.com发送http请求下载域名解析后服务器上的程序,并以HTA(内含微软某...病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端: 该脚本新增一个计划任务,计划每天7:00运行 C:\windows...释放powershell脚本文件并执行mimikatz模块,运行mimi操作后,释放了另一个配置文件 ? mkatz.ini文件中为抓取到的用户密码hash值 ?...计划任务 以system账户创建计划任务,查找并删除名称为“Autocheck”、“Autostart”、“escan”的计划任务: ?
Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准,可以集成在应用程序和服务与机器上存在的任何反恶意软件产品中。可以增强杀毒软件的查杀能力。...) JavaScript 和 VBScript Office VBA 宏 AMSI的主要是针对无文件落地攻击,比如 powershell 无文件攻击、VBScript脚本,对脚本进行扫描。...AMSI一些可能失效的地方比如:从WMI名字空间、注册表、事件日志等非常规位置加载的脚本、不用 powershell.exe 执行(可用网络策略服务器之类的工具)的 PowerShell 脚本等。...当脚本准备好提供给脚本引擎时,应用程序可以调用 Windows AMSI API 来请求对内容进行扫描。这样,就可以在决定继续执行之前安全地确定脚本是否是恶意的。 即使脚本是在运行时生成的,也是如此。...创建 PowerShell 进程后,AMSI.DLL 将从磁盘加载到其地址空间。 在 AMSI.DLL 中,有一个称为 AmsiScanBuffer() 的函数,本质上是用于扫描脚本内容的函数。
阶段 02 - PowerShell 从 Amazon S3 存储桶下载的文件是一个 PowerShell 脚本。它首先在 C:\ProgramData中创建一个名为 Not的文件夹。...【链式执行】 最后一个 PowerShell 脚本中包含两个 PE 文件: 【PowerShell 脚本】 第一个文件名为 RunPE,第二个文件用于将 AsyncRAT 注入到的合法进程中。...【运行命令】 PowerShell 脚本将 RunPE 直接加载到内存中,因此所有 PE 文件都不会落地。...【RunPE 文件信息】 后续由 PowerShell 脚本将 RunPE 加载到内存中,调用 Execute方法。...【AsyncRAT 反分析】 样本还通过注册表与计划任务来实现持久化。 【持久化机制】 AsyncRAT 将 C&C 地址和端口存储在其配置中,还提供了从 Pastebin 下载获取配置的选项。
之后,将前一步从轻量COS上下载的Saved文件夹复制到这里。4.6 重新启动游戏进程。通过开始菜单或搜索框内打开powershell,运行下面的命令,重启游戏。...3.6 登陆轻量云控制台,进入存储桶的备份目录,发现文件已经成功备份到轻量COS。4. 定时备份4.1 通过【开始】菜单搜索 Task,打开【任务计划程序】。...在【程序或脚本】中输入 PowerShell,添加参数输入:-File 备份脚本(palbackup-win.ps1)所在的路径路径。4. 完成以上设置,点击确认,创建定时任务。5. ...点击任务计划程序(本地),可以在任务状态中跟踪任务执行记录。点击刷新按钮,可以实时刷新当前列表。6. 单击【任务计划程序库】,可以查看当前已设置的定时任务。...在弹窗中选择【复制带签名的临时链接】,复制下面的URL。5.3 进入windows服务器,将URL粘贴到浏览器中,直接将备份文件下载到服务器上。5.4 解压缩备份文件,复制 Saved文件夹。
[TOC] 0x00 PS 基础介绍 描述: PowerShell 之父 Jeffrey Snover在加入微软之前是搞Linux的, PowerShell 是构建于 .NET 上基于任务的命令行 shell...答: PS脚本语言与Linux上的Shell有一致之处, 虽然现在服务器基本都采用Linux,但是针对于某些数据库安装环境也还必须是Windows或者是在线上的应用无法迁移到Linux,而Windows...具有一致的接口的工具有助于控制固有的复杂性 一致性 : 管理系统是一项复杂的任务,具有一致的接口的工具有助于控制固有的复杂性 交互式脚本编写环境: Windows 命令提示符提供了一个可访问命令行工具和基本脚本的交互式....zip 在安装过程中创建注册表项: 描述: 从 PowerShell 7.1 开始,MSI 包将创建用于存储 PowerShell 安装位置和版本的注册表项。...* 启用 PowerShell 脚本:可便于将 PowerShell 命令输入和输出捕获到基于文本的脚本中。
PowerShell 介绍 PowerShell 是由微软开发的一个命令行环境和脚本语言,也是一种跨平台的任务自动化解决方案,用于系统管理和配置管理,由命令行 shell、脚本语言和配置管理框架组成。...PowerShell 可以在 Windows、Linux 和 macOS 上运行。它首次发布于 2006 年,是微软 Windows 操作系统的一部分,并可以用于自动化系统管理任务。...PowerShell 是在.NET公共语言运行时 (CLR) 上构建的,作为一种面向对象的脚本语言, 通常用于自动执行系统管理。 它还用于经常在 CI/CD 环境中生成、测试和部署解决方案。...# 文件名:autoGitPush.ps1 Function gitPush { # 将脚本放置在项目根路径 if ($PSVersionTable.PSVersion.Major -ge...打开任务计划窗口,选择创建任务,并参考下图进行配置。 接下来配置触发器,小鱼这里设置了两条,电脑空闲状态下,以及每天定时执行。
这包括监视从shells命令(cmd.exe、powershell.exe)、Office应用程序、Web浏览器和Web服务处理程序中生成的wscript.exe或cscript.exe。...命令行界面可以通过远程桌面应用程序、反弹Shell会话等在本地或远程进行交互。执行的命令以命令行界面进程的当前权限级别运行,除非该命令进行进程调用,更改执行权限(例如计划任务)。...而且在基于GUI的应用程序上完成的所有任务,能够通过命令行界面更快地打开。 针对这类攻击,可以通过使用命令行参数正确记录进行执行情况来捕获命令行界面活动。...一旦发现了在野使用的特定恶意软件变体,便会提取出该恶意软件的独特功能,并用于在未来感染中对其进行检测和识别。将通过网络边界或下载到主机的每条数据与这些签名进行比较。...想要检测混淆文件或者信息,除非在混淆过程留下了可以检测到的独特伪像,否则很难检测文件混淆。如果无法检测,则可以去检测执行混淆文件的恶意活动(例如,用于在文件系统上写入、读取或修改文件的方法)。
[TOC] 0x00 前言简介 微软官网:PowerShell 是构建于 .NET 上基于任务的命令行 shell 和脚本语言。...,可以从以交互方式键入命令轻松转换为创建和运行脚本 PowerShell版本: Windows PowerShell: 从 Windows 7 SP1 和 Windows Server 2008 R2...:在任何 cmdlet 上指定 -? 参数时,PowerShell 将显示该 cmdlet 的帮助。 Get-Service -?...主机应用程序 将 PS 引擎加载到其进程中并使用它执行操作的程序。 输入处理方法 Cmdlet 可用于处理其以输入形式所接收的记录的一种方法。...PS数据文件 具有 .psd1 文件扩展名的文本文件。 PS 将数据文件用于多种用途,例如存储模块清单数据和存储用于脚本国际化的已翻译的字符串。 PS驱动器 一个提供直接访问数据存储的虚拟驱动器。
领取专属 10元无门槛券
手把手带您无忧上云