文章前言 在渗透测试过程中我们有时候需要通过Windows平台来反弹shell到我们的VPS主机以及CS端,那么这个过程中我们就需要借助Windows平台内置的可执行程序来执行命令,其中首选的就是powershell...,本篇文章我们主要介绍如何通过Windows平台中如何通过powershell来反弹shell操作 反弹shell powercat反弹 powercat(https://github.com/besimorhino.../powercat)是一个PowerShell函数,首先你需要加载这个函数才能执行它,你可以将下面的命令之一放入你的PowerShell配置文件中,这样在PowerShell启动时powercat就会自动加载...类 我们可以利用powershell创建一个Net.Sockets.TCPClient对象,通过Socket反弹tcp shell,其实也是借鉴nishang中的Invoke-PowerShellTcpOneLine.ps1...平台中如何反弹shell到我们攻击者主机的目的~ 推 荐 阅 读 横向移动之RDP&Desktop Session Hija
在多个AppLocker白名单绕过列表中,Presentationhost.exe都位列其中(例如api0cradl和milkdevil),但在网上有关如何使用它的资料却少之又少。...当我们打开.xbap文件,它似乎是在IE中启动的应用程序,但代码实际上是在另一个进程(Presentationhost.exe)中运行,通常是在一个沙箱中以保护用户免受恶意代码的攻击。...为了执行潜在的恶意操作,应用程序必须请求从文件位置(即本地文件系统或网络共享)打开XBAP时可以执行的非限制性权限。如果应用程序请求权限过多,则尝试通过HTTP或FTP打开xbap将失败。...我们打开Page1.xaml.cs定义按钮单击方法。这里我将使用C#的Pipeline类来运行PowerShell命令(有趣的是,以这种方式运行PowerShell命令可以绕过约束语言模式)。...如果你从网站下载该文件,它将无法运行,因为它将包含Web标记。你可以通过右键单击该文件,然后单击“Unblock(取消阻止)”复选框来删除Web标记(或者你也可以使用 PowerShell)。 ?
在本文中,我将向你演示如何使用 Sense HAT 附加板为 Raspberry Pi 2/3 创建一个 .NET Core 应用。...我首先通过另一个 ASP.NET Core Web 应用程序项目 SenseHat.DotNetCore.WebApp 扩展 SenseHat.DotNetCore 解决方案,使用 API 模板创建项目...所有这些更改都将在 SenseHat.DotNetCore.WebApp 项目的 Startup.cs 文件中实现。...在 Controllers 文件夹中,我创建了新文件 SenseHatController.cs,我对其进行了修改,如图 8 所示。...然后,我必须打开端口 5000(通过在 RPi2 上从 PowerShell 调用以下命令来完成该操作): netsh advfirewall firewall add rule name="ASP.NET
通常,通过 WMI 事件订阅的持久性需要创建以下三个类,它们用于存储有效负载或任意命令,指定将触发有效负载的事件并将两个类(__EventConsumer &__EventFilter)关联起来,以便执行和触发绑定一起...MOF 文件可以通过执行以下命令部署到 WMI 存储库中: mofcomp.exe ....通过 WMI 事件订阅的持久性可以通过使用常见的 Microsoft 实用程序来实现,因此无需将文件放入磁盘。...WMI-Persistence是另一个 PowerShell 脚本,它可以创建事件过滤器,在每次重新启动后 5 分钟内从远程位置执行基于 PowerShell 的有效负载。...从 PowerShell 控制台执行以下命令将验证有效负载是否存储在“ __EventConsumer** ”中并且“ **__EventFilter ”已创建。
横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作,这将返回一个信标。...它首先创建一个 PowerShell 脚本,该脚本将对嵌入式有效负载进行 base64 编码,该有效负载从内存运行并压缩为单线,连接到 ADMIN$ 或 C$ 共享并运行 PowerShell 命令,如下所示...在 CS 中,您可以专门制作服务可执行文件: image.png 这是相同的攻击,但使用 Metasploit WMI Windows Management Instrumentation (WMI...命名管道不是执行有效负载所必需的,但是 CS 创建的有效负载使用命名管道进行通信(通过 SMB)。 这只是触及 WMI 功能的表面。...这可以通过 Powershell 中的命令完成,也可以通过 WMI 和 Powershell 远程完成: 启用-PSRemoting -Force 从非 CS 的角度来看(用您的二进制文件替换 calc.exe
复制 2.创建监听器。 打开监听器→Add→添加一个监听器。 3.生成后门文件,并将生成的后门文件在对应客户端运行即可上线。...注入进程 dllload 使用LoadLibrary将DLL加载到进程中 download 下载文件 downloads...执行命令 powershell 通过powershell.exe执行命令 powershell-import 导入powershell脚本... psexec_psh 使用PowerShell在主机上生成会话 psinject 在特定进程中执行PowerShell命令... 从进程中窃取令牌 timestomp 将一个文件时间戳应用到另一个文件 unlink
从图上我们可以看到,如果要获得管理员权限,可以通过以下路径: 进程已经拥有管理员权限控制; 进程被用户允许通过管理员权限运行 未开启UAC 三、UAC的实现方法(用户登陆过程) 这里先来介绍一些与UAC...更改系统保护或者高级系统设置 五、UAC触发流程 在触发 UAC 时,系统会创建一个consent.exe进程,该进程通过白名单程序和用户选择来判断是否创建管理员权限进程。..." 然后我们使用powershell来编译它,在同目录下打开powershell,运行以下命令编译 Add-Type -TypeDefinition ([IO.File]::ReadAllText("$...Powershell武器化我们的脚本 现在开始我们实现自动化,我们创建一个powershell脚本,也是使用反射加载。...使用权限提升COM类的程序必须通过调用CoCreateInstanceAsAdmin函数来创建COM类,CoCreateInstanceAsAdmin函数的代码可以在MSDN网页( https://msdn.microsoft.com
powershell:通过受害主机的 PowerShell 执行命令。...直接运行 powershell-import + 脚本文件路径即可,但是这个脚本导入命令一次仅能保留一个 PowerShell 脚本,再导入一个新脚本的时候,上一个脚本就被覆盖了,因此可以通过导入一个空文件来清空...dllload:使用 dllload [pid] [c:\路径...\file.dll] 来在另一个进程中加载磁盘上的 DLL文件。...下载文件都将下载到CS团队服务器中,在View --> Download下可看到下载文件的记录,选中文件后使用Sync Files即可将文件下载到本地。...0x05 文件上传 upload:上传一个文件到目标主机上。 timestomp:将一个文件的修改属性访问属性和创建时间数据与另一个文件相匹配。
RabbitMQ .NET客户端5.0和更高版本通过nuget分发。 本教程假定您在Windows上使用PowerShell。在MacOS和Linux上,几乎所有的shell都可以运行。...这是整个Send.cs类。 发送不起作用! 如果这是您第一次使用RabbitMQ,并且您没有看到“已发送”消息,那么您可能会抓住您的脑袋,想知道会出现什么问题。...检查代理日志文件以确认并在必要时减少限制。该配置文件文档会告诉你如何设置disk_free_limit。 接收 至于消费者,它是从RabbitMQ推送消息。...运行消费者: cd Receive dotnet run 然后运行生产者: cd Send dotnet run 消费者将通过RabbitMQ打印从发布者处获得的消息。...消费者将继续运行,等待消息(使用Ctrl-C停止它),所以尝试从另一个终端运行发布者。
VBS的,绕过权限限制完成危险命令执行的等等,都需要用到文件下载/上传姿势,一般说按照途径可以分为: 通过HTTP、FTP URL进行传输类 通过UNC进行传输类 通过磁盘写入类 而payload执行则具体可以分为有文件类和无文件类...,所以我们的思路就是将需要上传的可执行文件转化成hex文件,通过echo命令写入目标系统中,最后通过debug将hex还原成可执行文件,这一部分具体步骤可参考我之前的一篇文章 FTP ftp也是一种比较经典的方法...C#编译器,Windows系统中默认包含,可在命令行下将cs文件编译成exe 当然思路还是将cs文件echo写入目标系统 echo using System.Net;class WebDL {...ClickOnce文件夹,然后从当前位置(随着每次更新而改变)启动它。...MSBuild 项目文件的格式使开发人员能够充分描述哪些项需要生成,以及如何利用不同的平台和配置生成这些项。
问题是它会创建服务并运行base64编码的命令,这是不正常的,并且会引发各种警报并生成日志。 另外,发送的命令是通过命名管道发送的,该管道在CS中具有默认名称(可以更改)。...因此,我们看到即使通过WMI,尽管wmic.exe能够通过PowerShell在目标上运行命令,但仍创建了命名管道,那么为什么要首先创建命名管道呢?...这可以通过Powershell中的命令完成,也可以通过WMI和Powershell远程完成: Enable-PSRemoting -Force 从非CS的角度来看(用您的二进制文件替换calc.exe)...从攻击者的角度来看,这用于编译C#代码以生成恶意的二进制文件或有效负载,甚至直接从XML文件运行有效负载。MSBuild也可以通过SMB进行编译,如下语法所示。...在Cobalt Strike中,使用wmic时通常会遇到这种情况,解决方法是为该用户创建令牌,因此可以从该主机传递凭据。
的,利用宏执行VBS的,绕过权限限制完成危险命令执行的等等,都需要用到文件下载/上传姿势,一般说按照途径可以分为: 通过HTTP、FTP URL进行传输类 通过UNC进行传输类 通过磁盘写入类 而payload...执行则具体可以分为有文件类和无文件类,具体分的话就是内存执行、本地缓存、磁盘文件下面我们会总结一些下载和执行的方法,其中也大量包含一些AppLocker ByPass技术和dll注入技术,部分也可以用于后门创建...,所以我们的思路就是将需要上传的可执行文件转化成hex文件,通过echo命令写入目标系统中,最后通过debug将hex还原成可执行文件,这一部分具体步骤可参考我之前的一篇文章Link: http:/...C#编译器,Windows系统中默认包含,可在命令行下将cs文件编译成exe 当然思路还是将cs文件echo写入目标系统 echo using System.Net;class WebDL {...MSBuild 项目文件的格式使开发人员能够充分描述哪些项需要生成,以及如何利用不同的平台和配置生成这些项。
powershell、net user、wscript/cscript... 0x05 绕过思路 (1) 直接执行木马上线CS 只能执行常用命令而不能上线怎么行?...注:CS/MSF自带的hta里还有一层Powershell,执行会拦Powershell.exe,利用工具卡死,强制结束后就不能再执行任何命令了,这啥原理我也不知道,只是发现里边已经运行了一个ms.exe...C:\Progra~1\Oray\SunLogin\SunloginClient\config.ini 因为较高版本的向日葵将ID和Pass写进注册表里了,所以在配置文件中是找不到的,可通过执行以下命令读取对应注册表项获取...如果目标主机的向日葵为自定义路径安装,那么我们该如何得到他的安装路径去读取config配置文件呢?可以使用sc qc命令查询向日葵服务得到安装路径,或者读取向日葵服务对应的注册表项。...0x06 文末总结 首先我们是解决了向日葵利用工具执行命令被360拦截的问题,后边其实大部分测试的都是在向日葵远程命令执行漏洞下如何去绕过360进程防护执行木马、脚本、读注册表、导出SAM、添加管理员等
下表中定义了每种导出属性类型的许可设置,以及intent-filter元素的各种组合,它们AndroidManifest.xml文件中定义。...安全性检查应该由onStartCommand完成,但不能用于伙伴服务,因为无法获取来源的软件包名称。 IntentService类型 IntentService是通过继承Service创建的类。...将类定义为从Binder类派生的类,并准备将Service中实现的特性(方法)提供给调用方。 在用户方,服务由意图指定并使用bindService调用。...在用户端,服务由意图指定,通过bindService调用,具体实现示例请参见“4.4.1.4 创建/使用内部服务”。...用户端可以通过指定意图并使用bindService来调用服务。 具体实现示例请参考“4.4.1.3 创建/使用伙伴服务”。
更具模型生成网页Page) 首先需要在创建出实体类,此处以微软官方文档中的Movice实体类为例。...Startup.cs 文件中的依存关系注入容器注册数据库上下文。...添加基架工具并执行初始迁移 从“工具”菜单中,选择“NuGet 包管理器” > “包管理器控制台”。 ?...Add-Migration 命令生成用于创建初始数据库架构的代码。 此架构以(Models/MovieContext.cs 文件中的)DbContext 中指定的模型为基础。...Update-Database用于将以上操作保存到数据库中(生成数据库) 搭建“电影”模型的基架 打开项目目录(包含 Program.cs、Startup.cs 和 .csproj 文件的目录)中的命令窗口
在创建好监听器,接下来就需要配置我们的客户端了,Cobalt Strike 提供了多种包括攻击方式,在这里我们使用 Powershell 进行攻击。...msf 获得了一个 meterpreter 的 session,想把 session 传给 cs 这里我们已经获得了一个 meterpreter 的 session 在CS中创建一个监听者...,和上一步类似,这里host需要修改为CS客户端IP,创建好之后我们便监听着6666端口,等待着被控机连接。...此时我们切换到 meterpreter 中: 此时机器便已成功从 cs 成功上线,可以进行各种姿势的操作。...32557,然后就可以通过 proxychains 使用各种工具做内网渗透了。
如果你使用不同的主机、端口或证书,则需要调整连接设置。 从哪里获得帮助 如果您在阅读本教程时遇到困难,可以通过邮件列表联系我们。 介绍 RabbitMQ是一个消息中间件:它接收并转发消息。...RabbitMQ .NET客户端5.0及更高版本通过nuget发布。 本教程假定您在Windows上使用PowerShell。在MacOS和Linux上,几乎所有shell也都可以正常工作。...在Send.cs中,我们需要使用一些命名空间: using System; using RabbitMQ.Client; using System.Text; 设置类: class Send {...必要时检查代理程序日志文件来确认和减少限制。配置文件文档将告诉您如何设置disk_free_limit。 接收 至于消费者,它是把消息从RabbitMQ拉取过来。...消费者将继续运行、等待新消息(按Ctrl-C将其停止),可以尝试从开启另一个终端运行发布者。 接下来可以跳转到教程[2],构建一个简单的工作队列。
然后让跳板机使用copy命令远程操作,将metasploit生成的payload文件Gamma.exe复制到目标主机DC系统C盘中。 3. 再在目标主机DC上创建一个名称为“backdoor”的服务。...3.WMI会建立一个共享文件夹,用于远程读取命令执行结果。 4.当用户输入命令时,WMI创建进程执行该命令,然后把结果输出到文件,这个文件位于之前创建的共享文件夹中。...5.通过FSO组件访问远程共享文件夹中的结果文件,将结果输出。 6.当结果读取完成时,调用WMI执行命令删除结果文件,最后当WMIEXEC退出时,删除文件共享。...在powershell中我们可以使用 get-CimInstance来列出本地COM程序列表 远程DCOM对象的实例表现如下: 客户端计算机从远程计算机请求实例化由CLSID表示的对象。...如果一切顺利,则DCOMLaunch服务将创建所请求类的实例,通常是通过运行LocalServer32子项的可执行文件,或者通过创建DllHost进程来承载InProcServer32子项引用的dll。
本示例将会使用”鹦鹉学舌”这个小插件的实现来演示如何使用Newbe.Mahua实现第一个机器人插件。 插件功能 自动将发送者的消息回发给发送人,鹦鹉(英文:Parrot)学舌。...3.0及以上 设置Powershell执行策略限制 参考链接:http://www.pstips.net/powershell-create-and-start-scripts.html 简单来说,使用管理员权限在...cmd中运行以下命令: powershell -command "Set-ExecutionPolicy RemoteSigned -Force" 安装VS扩展 从VS扩展商店下载最新的VS扩展,下载地址为...itemName=Newbe36524.NewbeMahuaVsExtensions 若出现下载不畅通,也可以通过加入技术交流群,在群文件中进行下载。...本示例将使用此项目模板进行演示。 本插件项目名称使用Newbe.Mahua.Plugins.Parrot。 ? 修改插件基本信息 打开PluginInfo.cs文件,按照实际需求和注释内容进行修改。
所以,我们首先查看lib/configure.js文件,试着从源码中探索一下。...的类,查找的过程就是执行创建该类的一个实例,并调用实例的一个名为findVisualStudio的方法。...那么这段代码的运行情况到底如何呢?我们将该段代码单独拿出来,并将Find-VisualStudio.cs拷贝到运行目录下来Debug它。...上图中,我模拟了node-gyp中查询VS2017以上版本的函数,通过Debug方式断点调试: ps变量值为:C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe...cs文件不再赘述,我们也不对CSharp代码解读了。代码的最后就是执行弄得的chile_process模块中的execFile函数,通过传入可执行程序的完整路径已经执行参数,完成外部程序调用。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
