Powershell版本特性 PowerShell V2 PowerShell V2提供事件记录能力,可以协助蓝队进行相关的攻击事件推断和关联性分析,但是其日志记录单一,相关Post-Exploitation...PowerShell模块日志可以配置为记录所有的PowerShell模块的活动情况,包括单一的PowerShell命令、导入的模块、远程管理等。可以通过GPO进行启用模块日志记录。...作为PowerShell 7的一部分,Microsoft在之前的日志记录基础上,增加了一种安全使用本地或远程存储中的凭据的方法,以便不需要将密码嵌入到脚本中。...Powershell日志说明 事件ID 关联 审计 笔记 400 403 始终记录,无论记录设置如何 引擎状态从无更改为可用,记录任何本地或远程PowerShell活动的开始; 403 400 始终记录...,无论记录设置如何 引擎状态从可用状态更改为停止,记录PowerShell活动结束。
接下来,我们希望通过监视 PowerShell 和 Windows(使用 EventSentry )生成的各种事件来检测恶意 PowerShell 活动。...Powershell 降级攻击 在之前的博客文章中,我谈到要尽可能避免使用 PowerShell v2,因为它提供了不记录日志的功能,理想情况下应该部署 PowerShell v5.x 或更高版本,因为它提供了更好的日志记录功能...因此,如果您启用了Module&ScriptBlock 日志记录并且至少安装了最新的 PS v4,那么你会认为 powershell 的事件日志中记录了基本脚本的活动记录。...不一定,因为我们知道 powershell V2 不记录任何日志,而且每个主机上都安装了 powershell V2,尽管只是附带安装了相应的 .NET 框架而且并未默认使用。...进行攻击,在后续活动中可以下载一个隐藏的应用程序来躲避监控,维持权限。
Aqua Nautilus最新报告指出,PowerShell Gallery关于包名称和所有者的政策中仍然存在重大缺陷,这些缺陷使得在该注册表中不可避免地发生typosquatting攻击,同时也使用户极难辨别软件包的真实所有者...PowerShell Gallery是用于分享和获取PowerShell代码(如PowerShell 模块、脚本和DSC资源)的中央存储库。...其他包管理器(如npm)会采取措施来降低这种风险,并禁止攻击者对流行的包名执行键入。这里有一些来自npm博客的例子来说明它是如何工作的。...缓解和建议 如上所述,这个问题仍然是可重复出现的,所以在使用PowerShell Gallery中的包时需要更加注意和谨慎,直到微软修复了这些缺陷。...在云环境中检测可疑行为:实现一个强大的连续监控系统,在CI/CD管道和云基础设施中实时跟踪活动。这种主动的方法不仅允许组织检测潜在的威胁和可疑行为,还能够检测与已建立的正常配置文件的任何偏差。
那么,如何进入Powershell呢? 一种方法是在运行中直接输入Powershell打开,另一种方法是CMD中输入Powershell打开。 ? ? ?...首先,它可以进行计算任务,包括计算1gb大小(以字节为单位),还有基本的运算。 ? 其次,Powershell可以获取计算机的服务详细信息、状态等。 ?...如果只获取其中的name、mode值,则使用如下指令。 ? ? 2.重定向 重定向旨在把命令的输出保存到文件中,‘>’为覆盖,’>>’追加。 ?...三.Powershell执行外部命令及命令集 1.外部命令 Powershell是CMD的一个扩展,仍然能够让CMD中的命令在Powershell中使用,Powershell初始化时会加载CMD应用程序...获取输入的历史命令信息 ? ? 获取当前时间 ? ? ? 四.Powershell别名使用 1.别名基本用法 获取所有命令get-command可以用别名gcm替代。 ? ?
3.控制台和快捷键 4.数学运算 二.Powershell管道和重定向 1.管道 2.重定向 三.Powershell执行外部命令及命令集 1.外部命令 2.命令集 四.Powershell别名使用...那么,如何进入Powershell呢? 一种方法是在运行中直接输入Powershell打开,另一种方法是CMD中输入Powershell打开。...首先,它可以进行计算任务,包括计算1gb大小(以字节为单位),还有基本的运算。 其次,Powershell可以获取计算机的服务详细信息、状态等。...管道和重定向 1.管道 Powershell管道旨在将上一条命令的输出作为下一条命令的输出。...---- 三.Powershell执行外部命令及命令集 1.外部命令 Powershell是CMD的一个扩展,仍然能够让CMD中的命令在Powershell中使用,Powershell初始化时会加载CMD
限制记录 limit() 方法 要想限制 MongoDB 中的记录,可以使用 limit()方法。limit() 方法接受一个数值类型的参数,其值为想要显示的文档数。...归纳出一个列表,以显示每个用户写的教程数量,需要像下面这样使用 aggregate() 方法: 1234567891011121314 > db.mycol.aggregate([{$group :..., url : {$addToSet : "$url"}}}]) $first 根据成组方式,从源文档中获取第一个文档。...中,管道(pipeline)概念指的是能够在一些输入上执行一个操作,然后将输出结果用作下一个命令的输入。...管道中有很多阶段(stage),在每一阶段中,管道操作符都会将一组文档作为输入,产生一个结果文档(或者管道终点所得到的最终 JSON 格式的文档),然后再将其用在下一阶段。
处于活动状态时,涉及远程命令执行安全相关的事件ID如下: • 事件ID 32850:记录为远程处理进行身份验证的用户帐户; • 事件ID 32867/32868:记录在PowerShell远程处理期间进行的每个...PowerShell输入和输出对象,包括协议和版本协商以及命令I / O对象在表示为“有效负载数据”的字段中存储为XML编码的十六进制字符串,并且到期长度通常在多个日志消息中分段。...PowerShell模块日志可以配置为记录所有的PowerShell模块的活动情况,包括单一的PowerShell命令、导入的模块、远程管理等。可以通过GPO进行启用模块日志记录。...,这个时期,攻击思路更多的体现在如何降级到PowerShell v2版本 随着PowerShell攻击技术的不断成熟,攻击者为了规避防护和日志记录进行了大量的代码混淆,在执行代码之前很难发现或确认这些代码实际上会做些什么事情...0x07 总结 PowerShell其实已经被广泛运用于不同规模的攻击活动,无论是下载器中、内网横向扩展中、权限维持系统后门中,甚至MuddyWater、FruityArmor等多个APT组织的攻击事件中都被使用
3.控制台和快捷键 4.数学运算 二.Powershell管道和重定向 1.管道 2.重定向 三.Powershell执行外部命令及命令集 1.外部命令 2.命令集 四.Powershell别名使用 1...那么,如何进入Powershell呢? 一种方法是在运行中直接输入Powershell打开,另一种方法是CMD中输入Powershell打开。...首先,它可以进行计算任务,包括计算1gb大小(以字节为单位),还有基本的运算。 其次,Powershell可以获取计算机的服务详细信息、状态等。...ls | format-table name, mode ---- 2.重定向 重定向旨在把命令的输出保存到文件中,‘>’为覆盖,’>>’追加。...---- 三.Powershell执行外部命令及命令集 1.外部命令 Powershell是CMD的一个扩展,仍然能够让CMD中的命令在Powershell中使用,Powershell初始化时会加载CMD
嗯,我的代码没有else系列,一个设计模式业务真实使用的golang系列。 ? 前言 本系列主要分享,如何在我们的真实业务场景中使用设计模式。...什么真实业务场景可以使用「XX设计模式」? 怎么用「XX设计模式」? 本文主要介绍「模板模式」如何在真实业务场景中使用。 什么是「模板模式」?...抽象类里定义好算法的执行步骤和具体算法,以及可能发生变化的算法定义为抽象方法。不同的子类继承该抽象类,并实现父类的抽象方法。 模板模式的优势: 不变的算法被继承复用:不变的部分高度封装、复用。...ctx.ActInfo = &ActInfo{ // 假设当前的活动类型为按抽奖次数抽奖 ActivityType: ConstActTypeTimes, } // 获取当前抽奖类型的具体行为...本系列的一些设计模式的概念可能和原概念存在差异,因为会结合实际使用,取其精华,适当改变,灵活使用。
SP1 开始,每个 Windows 中默认随附安装有 Windows PowerShell。...使用“谓词 - 名词”命名系统,每个 cmdlet 名称都由一个标准谓词、连字符和特定名词组成,一般的谓词与名称的首字母为大写(在编程中需要抱持良好的风格); 比如:PowerShell 具有Get-Process...管 在 PS 中,将前一个命令的结果作为输入发送到管道中的下一个命令。 管道 一系列由管道运算符 (` `) (ASCII 124) 连接的命令。...运行空间 在 PS 中,在其中执行管道中每个命令的操作环境。 脚本块 在 PS 编程语言中,可作为单个单元使用的语句或表达式的一个集合。 脚本块可以接受参数并返回值。...PS 为IT管理员提供全面控制以及实现系统管理任务自动化的一个命令行 Shell 和基于任务的脚本技术; PS命令 导致操作被执行的管道中的元素。PS 命令可以在键盘上输入或以编程方式调用。
Cmdlet(发音为“command-let”)是PowerShell中的一组轻量级命令,专为执行特定任务而设计。...管道支持: Cmdlet可以通过管道将输出传递给下一个Cmdlet,实现数据的流式处理。 常用Cmdlet示例 获取信息: Get-Help:获取帮助信息。...管道 管道允许你将一个命令的输出直接传递给下一个命令作为输入。这种机制使得数据处理变得更加高效和简洁。 符号:在PowerShell中,管道由竖线符号(|)表示。...数据流:管道将前一个命令的输出传递给下一个命令的输入。 对象传递:与传统的命令行不同,PowerShell管道传递的是对象而不是文本。这意味着可以在管道中处理复杂的数据结构。...PowerShell 对象、变量、函数 对象 对象基础:PowerShell中的对象是.NET对象,包含属性和方法。每个命令的输出都是对象,而不是纯文本。
PowerShell如何被用于网络攻击之中 PowerShell的能力大家有目共睹,近期也有越来越多的攻击者开始在攻击活动中使用PowerShell了。...PowerShell可增强攻击的隐蔽性 攻击者会使用PowerShell所提供的各种参数选项来尽可能地增强攻击活动的隐蔽性,下面给出的是一些在攻击活动中常用的参数选项,我们可以用这些信息来构建我们的入侵威胁指标...下面给出的真实场景中的攻击样例: 入侵威胁指标IoC 接下来我们一起看一看相关的入侵威胁指标,它们可以帮助我们在各种环境中检测可疑的PowerShell活动。...相关功能介绍以及启用方法可访问以下资料获取:[阅读原文] 事件ID 4688可以根据SIEM生成的警报信息来给我们提供三条关键信息,我们可以使用这两条信息来检测PowerShell攻击: 1....父进程信息; 接下来,我将会用一个Splunk样本来解释如何利用警报信息来检测可疑的PowerShell活动。
尽管如此,旧版本中的默认日志记录级别也可以提供足够的证据来识别PowerShell使用情况,将远程处理与本地活动区分开来并提供诸如会话持续时间和相关用户帐户之类的上下文,这些已经可以帮助位于防御方的蓝队人员进行相关的攻击事件推断和关联性分析...防御角度(蓝队视角): 通常PowerShell 2.0事件日志可以提供命令活动或脚本执行的开始和停止时间,加载的提供程序(指示正在使用的功能类型)以及发生活动的用户帐户。...PowerShell模块日志可以配置为记录所有的PowerShell模块的活动情况,包括单一的PowerShell命令、导入的模块、远程管理等。可以通过GPO进行启用模块日志记录。 ?...,这个时期,攻击思路更多的体现在如何降级到PowerShell v2版本。...0x07 总结 PowerShell其实已经被广泛运用于不同规模的攻击活动,无论是下载器中、内网横向扩展中、权限维持系统后门中,甚至MuddyWater、FruityArmor等多个APT组织的攻击事件中都被使用
0x00 PowerShell的内网渗透之旅 内网渗透一直以来都是一个热门话题,试想在一个大型的内网环境下,当我们拿到了内网windows机器后,该如何通过他们去获取更多的所需资源,这就需要进行内网渗透了...,三个不同平台的命令,在powershell中均可使用,即别名机制。...注意:输出多个变量时需要使用双引号,单引号是不会取变量中的值的。 也可使用New-Variable定义变量,此时可以指定变量的一些属性,如访问权限: 以下给num变量添加只读属性。 ?...c.哈希表的使用:之前创建空数组是使用@(),而创建哈希表用到的是@{},此处的哈希表同python中的字典类型类似: ?...通过命令直接算出距离明年的今天有多少天。 ? 通过命令获取当前PC中跑了多少进程。 ? 查看Windows目录下所有文本文件txt的大小。 ? 可将数据输出为HTML格式、CSV格式等。 ?
另外,我知道不是每个人都有 Cobalt Strike,所以在大多数示例中也引用了 Meterpreter,但这些技术是通用的。...那里有几种不同的横向移动技术,我将尝试从高层次的概述中介绍大的以及它们如何工作,但在介绍这些方法之前,让我们澄清一些术语。 命名管道:一种进程通过 SMB (TCP 445) 相互通信的方式。...当用户登录时,系统通过将其与存储在安全数据库中的信息进行比较来验证用户的密码。当用户的凭据通过身份验证时,系统会生成访问令牌。代表此用户执行的每个进程都有此访问令牌的副本。...image.png 指标为: “c:\windows\syswow64\windowspowershell\v1.0\powershell.exe”-版本 5.1 -s -NoLogo -NoProfile...在 Cobalt Strike 中,在使用 wmic 时经常会遇到这种情况,解决方法是为该用户制作一个令牌,以便随后能够从该主机传递凭据。
通过使用Windows事件查看器或SIEM代理收集它生成的事件并进行安全分析,可了解入侵者和恶意软件如何在网络系统上运行,从而识别恶意或异常活动。...2)网络层面分析 通过wireshark获取网络数据包,验证了psexec.py开始使用了SMB协议进行会话协商,通过深入分析网络数据包,观察其是否有明显特征。...EventID 17&18命名管道 Sysmon EventID 17在创建命名管道时生成,而恶意软件通常使用命名管道进行进程间通信。...基于操作系统日志的“左右互搏术” Windows操作系统中有Powershell、Defender、USB和WIFI使用等相关日志,因此,蓝队应能从这些日志中发现一些入侵攻击或恶意行为。...蓝队可在实际生产环境中验证是否能产生密码喷洒告警。 2)主机层面行为分析 使用场景4.1.2中的PTH哈希传递攻击检测规则“NTLMV2访问”,发现了CME工具发起的PTH哈希传递攻击。
(1) 首先,如何进入Powershell呢? 一种方法是在运行中直接输入Powershell打开,另一种方法是CMD中输入Powershell打开。...命令,每个命令显示为独立的一行,对于被视为PowerShell脚本的文本文件,它的文件名需要加上.PS1的扩展名。...(4) 管道 PowerShell的管道作用是将一个命令的输出作为另一个命令的输入,两个命令之间用管道符号(|)连接。...举个例子来看管道是如何工作的,假设停止所有目前运行汇总以 “p” 字符开头命名的程序,命令如下: get-process p* | stop-process 管道并不是什么新事物,以前的Cmd控制台也有重定向的命令...传统的Cmd管道是基于文本的,但是Powershell管道是基于对象。例如: linux:ls cmd:dir 如果只获取其中的name、mode值,则使用如下指令。
-Parameter * # 若要获取有关 cmdlet 的参数的详细帮助,请使用的 Parameter 参数 # 3.获取Cmdlet命令显示帮助文章中的示例(实际显示名称、别名、备注) Get-Help...管 在 PS 中,将前一个命令的结果作为输入发送到管道中的下一个命令。 管道 一系列由管道运算符 (` `) (ASCII 124) 连接的命令。...运行空间 在 PS 中,在其中执行管道中每个命令的操作环境。 脚本块 在 PS 编程语言中,可作为单个单元使用的语句或表达式的一个集合。 脚本块可以接受参数并返回值。...PS 为IT管理员提供全面控制以及实现系统管理任务自动化的一个命令行 Shell 和基于任务的脚本技术; PS命令 导致操作被执行的管道中的元素。PS 命令可以在键盘上输入或以编程方式调用。...---- 0x06 学习建议 描述: 本章了解了PS的简单使用,以及遇到了没见过或者是不会使用的cmdlet命令,我们应该如何的获取我们想要得到的信息或者说是语法实例,但是对于学习PS编程来说语法其实难而难点在于需要记得
答: 管道的行为就像一系列连接的管道段一样,沿着管道移动的项会通过每个管道段; 描述:在 PS 中创建管道请使用管道运算符“|”将命令连接在一起,每个命令的输出都将被用作下一命令的输入,与Linux...Tips : 管道命令也是存在的阻塞,比如在对递归的文件进行排序的时候,需要获取全部文件后才能进行排序; (Dir C: -recurse | Sort-Object) Tips : 管道中的每个命令(...称为管道元素)将其输出逐项传递到管道中的下一个命令 1.传统的Cmd管道是基于文本的,但是Powershell是基于对象 2.管道中传递是对象可以作为下一个cmdlet的参数 3.它可以减少使用复杂命令的工作量...Format-List: 将输出的格式设置为属性列表,其中每个属性均各占一行显示。 Format-Table: 将输出的格式设置为表。...在对管道中的每个对象或所选对象执行操作的命令中,可以使用此变量。 $Args : 包含由未声明参数和/或传递给函数、脚本或脚本块的参数值组成的数组。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
