本文就介绍 PowerShell 的命令行启动参数。利用这些参数,你可以自动化地通过 PowerShell 程序来完成一些原本需要通过手工执行的操作或者突破一些限制。...比如下面的 FRP 反向代理程序: 借助 cmd.exe 来启动的方法可以参见我的另一篇博客: cmd.exe 的命令行启动参数(可用于执行命令、传参或进行环境配置) - 吕毅 那么我们如何能够借助于...比如其中之一,执行脚本。 使用 PowerShell 执行命令/脚本后保留窗口不退出 需要加上 -NoExit 参数。.../frpc.ini" 一定要注意,-c 和后面的命令必须放到最末尾,因为 -c 后面的所有字符串都会被解析为需要执行的命令。...本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。
关于Monkey365 Monkey365是一款功能强大的开源工具,该工具不仅可以帮助广大研究人员轻松对Microsoft 365执行安全审计,而且也可以对Azure订阅以及Azure活动目录执行安全配置审查...Monkey365是一个基于插件的PowerShell模块,可用于检查云环境的安全状况。...使用Monkey365,我们可以根据Azure、Azure AD和Microsoft365核心应用程序的安全最佳实践和合规标准,扫描公共云帐户中的潜在错误配置和安全问题。 ...假设你的Monkey365位于PSModulePath路径中,那么可以使用下列命令并通过PowerShell直接将Monkey365加载到活动内存中: Import-Module monkey365 如果...Monkey365将帮助安全顾问评估云环境,并根据控制和最佳实践分析风险因素。报告将包含用于快速检查和验证结果的结构化数据。
该资源清单列表涵盖了一系列,适用于渗透测试不同阶段的开源/商业工具。如果你想为此列表添加贡献,欢迎你向我发送pull request。 ?...https://github.com/byt3bl33d3r/gcat TrevorC2:是一个合法的网站(可浏览),用于隐藏命令执行的客户端/服务器通信。...https://github.com/threatexpress/domainhunter PowerDNS:一个简单的PoC,用于演示如何使用DNS执行PowerShell脚本。...和 移动应用程序,它相当于一个介于应用程序和云基础设施之间的抽象层。...,FileZilla和Microsoft远程桌面)提取保存的会话信息。
Composite Moniker CVE-2017-8570 漏洞为 Microsoft Office 的一个远程代码执行漏洞。...Office RTF 漏洞,当用户打开包含嵌入式漏洞的文档时,此漏洞允许恶意攻击者下载并执行包含 PowerShell 命令的 Visual Basic 脚本。...应用程序可以使用DDE 协议实现一次性数据传输以及持续的数据交换(当新数据可用时,应用程序发送更新通知给另一个应用程序)。 在 MSWord 和 MSExcel 里,可以使用 DDE 来执行命令。...随后可以使用 powershell 命令下载图片并执行其中隐藏的恶意 powershell 脚本。...Exchange 服务器进行交互,主要功能有:枚举有效用户、创建新的恶意邮件规则、保存全局邮件地址列表(GAL)、通过表单执行 VBScript、通过 Outlook 主页执行 VBScript。
命令行工具或远程工具来执行基本的管理任务,在使用上更像是在Linux上的命令行而在Core中则采用PowerShell进行系统的主要管理,在PS中随处都可以看见Linux Shell的影子例如ls、wget...# - 4.在我们的客户端执行mstsc.msc进行连接到Core服务器中 mstsc.exe /admin WeiyiGeek.Core-Server 5.启用Windows PowerShell...OpenSSH 是一款用于远程登录的连接工具,它使用 SSH 协议。...、管理和转换身份验证密钥 ssh-agent.exe: 存储用于公钥身份验证的私钥 ssh-add.exe: 将私钥添加到服务器允许的列表中 ssh-keyscan.exe: 帮助从许多主机收集公用 SSH...Windows 环境中的大多数身份验证都是使用用户名-密码(password)对完成的适用于共享公共域的系统(可能会导致关键信息泄露),跨域工作时(例如在本地和云托管的系统之间)很容易受到暴力攻击入侵。
•Transport:用于指定用于发送和接收 WS-Management 协议请求和响应的传输类型,如 HTTP 或 HTTPS,其默认值为 HTTP。•Port:表示监听器所监听 TCP 端口。...利用 WinRM 服务远程执行命令 使用 winrs 命令 WinRS 是 Windows 的远程 Shell,它相当于 WinRM 的客户端,使用它可以访问运行有 WinRM 的服务器,不过自己也得装上...Invoke-Command 是 PowerShell 上的一个命令,用来在本地或远程计算机上执行命令。...请注意,TrustedHosts 列表中的计算机可能未经过身份验证。通过运行以下命令 可获得有关此内容的更多信息: winrm help config。...使用 Metasploit 内置模块 Metasploit 框架内置了多个模块,可用于发现启用了 WinRM 服务的主机,发现用于服务认证的凭证以及执行任意命令和代码。
,每行一个用户名,格式为“user@domain.com" (必须) -p PASSWORD, --password PASSWORD 用于执行密码喷洒的单个密码...://login.microsoft.com 下列命令将使用提供的用户列表文件并尝试使用密码Winter2020对每个账号执行身份验证测试: python3 MSOLSpray.py --userlist...版本 首先我们需要提前准备好一个包含目标电子邮箱地址(每一个地址单独一行)的userlist用户列表文件,然后使用“powershell.exe -exec bypass”打开一个PowerSehll命令行终端...@domain.com"; Password - 用于执行密码喷洒的单个密码; OutFile - 输出有效结果的文件; Force - 当检测到多个帐户锁定时,强制继续执行密码喷射操作...; URL - 设置目标URL地址,如果指向的是一个API网关URL,则使用FireProx之类的代理工具随机轮转切换源IP地址; 许可证协议 本项目的开发与发布遵循MIT开源许可证协议
在该工具的帮助下,广大研究人员可以轻松实现大规模的PowerShell命令或脚本的混淆检测。...它依靠PowerShell的AST(抽象语法树)从任何输入的PowerShell脚本中快速提取数千个特征,并将该特征向量与一个包含了40多万个PowerShell脚本的语料库进行计算和对比。 ...而且Revoke-Obfuscation支持支持简单的白名单功能,并且能够提取PowerShell操作事件日志记录。 ... | Get-RvoScriptBlock -Verbose (向右滑动,查看更多) 下列命令可以针对demo.evtx中的数据记录执行完整检测: $obfResults = Get-WinEvent...\Demo\demo.evtx | Get-RvoScriptBlock | Measure-RvoObfuscation -OutputToDisk -Verbose (向右滑动,查看更多) 下列命令可以对本地或远程托管的测试脚本执行检测
为了捕获利用PowerShell的攻击行为,越来越多的安全从业人员使用PowerShell事件日志进行日志分析,提取Post-Exploitation等攻击记录,进行企业安全的监测预警、分析溯源及取证工作...极易混淆编码,PowerShell具备脚本类语言的特点,灵活多变,很容易配合多种混淆方法,对抗传统检测工具 良好的功能及适应性,满足多种攻击场景的需求:PowerShell内置远程管理机制,可用于远程命令执行...• Microsoft-Windows-WinRM/Analytic.etl 通常PowerShell 2.0事件日志可以提供命令活动或脚本执行的开始和停止时间,加载的提供程序(指示正在使用的功能类型...包括用于访问WinRM的用户名和身份验证机制; • 事件ID 142:如果远程服务器禁用了WinRM,则客户端在尝试启动远程Shell连接时将产生该记录; Microsoft-Windows-PowerShell...PowerShell输入和输出对象,包括协议和版本协商以及命令I / O对象在表示为“有效负载数据”的字段中存储为XML编码的十六进制字符串,并且到期长度通常在多个日志消息中分段。
关于Microsoft365Extractor Suite Microsoft 365 Extractor Suite是一款功能强大的Microsoft 365安全审计工具,该工具基于PowerShell...功能介绍 该脚本有四个选项,可以帮助广大研究人员从Microsoft 365环境中提取日志数据: 1、显示可用的日志源和日志记录数量; 2、提取所有的审计日志信息; 3、提取组审计日志信息; 4、提取指定的审计日志信息...(高级模式); 工具要求 PowerShell Microsoft 365账号(拥有审计日志的访问/提取权) 支持PowerShell脚本执行的操作系统,建议选择Windows; 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地...使用 1、下载项目中的Microsoft365_Extractor.ps1脚本; 2、打开PowerShell窗口,切换到脚本所在路径,运行该脚本,或者直接在资源管理器中右键点击脚本文件,并选择“使用PowerShell...本项目的开发与发布遵循MIT开源许可证协议。
查询进程列表信息 执行如下命令,可以查看当前进程列表和进程用户,分析软件、邮件客户端、VPN和杀毒软件等进程,如下图所示: tasklist /v ?...查客户端会话信息 执行如下命令(需要管理员权限才行),列出或断开本地计算机和连接的客户端的会话,如下图所示: net session ?...几乎所有的局域网都是在NetBIOS协议的基础上工作的。“NetBIOS”也是计算机的标识名,该名字主要用于局域网中计算机之间的相互访问。...-f filename.txt:指定从中提取主机列表的文件。 -e filename.txt:指定要排除的主机名文件。 -o filename.txt:将所有输出重定向到文件。...-d domain:指定从中提取主机列表的域。如果没有指定,则使用当前域。 -g group:指定用户搜寻的组名。如果没有指定,则使用 Domain Admins。
Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN),则 Kerberos 身份验证服务器将授予一个票证以响应该请求。...然后,客户端计算机使用该票证来访问网络资源。在内部网络中,SPN扫描通过 查询向域控制器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务的主机,如终端、交换机、微软SQL等,并隐藏他们。...SetSPN SetSPN是一个本地windows二进制文件,可用于检索用户帐户和服务之间的映射。该实用程序可以添加,删除或查看SPN注册。...该脚本可以通过使用本机Windows二进制cscript从Windows命令提示符执行。 cscript.exe GetUserSPNs.vbs ?...PowerShell AD Recon 除了Tim Medin开发的工具外,Sean Metcalf也开发了各种PowerShell脚本来执行Kerberos侦察。
微软不建议关闭135端口和445端口关于这几个端口,我跟微软工程师电话沟通过,微软不推荐关闭,建议从防火墙或安全组(尽量用云平台功能,即安全组)采取措施而不是关闭端口,把需要访问这些端口的IP段(内网段...)在安全组入站规则放行,个别需要在外网访问这些端口的客户端IP段也放行,其余的客户端IP段全部禁止访问这些端口即可图片.png445端口是域服务需要的,关闭445端口,域业务也就挂了135端口是RPC协议...-Confirm:0"以上复原135端口的命令适用所有Windows系统下面单独说下reg delete命令执行reg delete "HKLM\SOFTWARE\Microsoft\Rpc\Internet..." /f【只有一块网卡的CVM,关闭139端口】powershell两行代码执行后重启机器生效$netcardGUID=(getmac /fo list|findstr Tcpip).split("_"...,复原139端口】powershell两行代码执行后重启机器生效$netcardGUID=(getmac /fo list|findstr Tcpip).split("_")[1]REG ADD HKLM
PowerShell 可帮助系统管理员和高级用户快速自动执行用于管理操作系统(Linux、macOS 和 Windows)和流程的任务, 其实可以看做是C#的简化版本还与PHP语言有相似之处(语法),与我们可以采用...可移植模块是同时适用于 Windows PowerShell 和 PowerShell Core 的模块。 PowerShell 7: 是专为云、本地和混合环境设计的,它包含增强功能和新功能。...PowerShell 同时支持采用 WSMan 和 SSH 的 PowerShell 远程处理协议 (PSRP) 在 PowerShell Core 中进行 SSH 远程处理 在 PowerShell...(RHEL) 7 描述: 为简化安装和更新,已将适用于 Linux 的 PowerShell 发布到正式的 Microsoft 存储库()。...PgUp PgDn 显示当前会话的第一个命令和最后一个命令 Enter 执行当前命令 End 将光标移至当前命令的末尾 Del 从右开始删除输入的命令字符 Esc 清空当前命令行 (V) ALT
、命令控制 POLONIUM 与 CopyKittens 都使用 AirVPN 滥用云服务 POLONIUM 利用云服务进行命令和控制以及数据泄露,微软在攻击中发现 POLONIUM 滥用 OneDrive...响应中可以包含要执行的命令数组或先前下载文件的文件路径。攻击者也可以使用单命令与文件路径的组合。...数组中的每个值都单独作为参数传递给以下自定义函数,该函数使用 Invoke-Expression cmdlet 运行命令: △自定义函数 每个命令的执行结果都会收集起来,发送到 OneDrive 上的以下位置...观察到的用于 plink 隧道的 C&C 地址: 185.244.129.109 172.96.188.51 51.83 .246 .73 供应链攻击 POLONIUM 入侵了一家位于以色列的云服务提供商...利用 IT 产品和服务提供商入侵下游客户,仍然是伊朗攻击者的最爱。
在这个例子中,我运行一个 PowerShell 命令来运行“net localgroup”来更新本地管理员组。当这在域控制器上执行时,这适用于域管理员组。...注意:能够在 Azure VM 上运行命令并不特定于托管在 Azure 上的客户本地 Active Directory DC,也适用于托管在那里的其他系统。...假设 PowerShell 日志记录已启用(并发送到 SIEM),则可以看到此命令执行。根据我的经验,这并不常见。...一旦攻击者可以在 Azure VM 上将 PowerShell 作为系统运行,他们就可以从云托管的域控制器中提取任何内容,包括 krbtgt 密码哈希,这意味着完全破坏本地 Active Directory...此外,我担心这是 Microsoft 云客户的场景:无法检测、无法修复,并且最终无法阻止,因为如果 Azure AD 全局管理员帐户暴露,则没有真正的门可锁定。
qwinsta 列出或断开本地计算机和连接的客户端的会话 net session 查看端口列表 netstat –ano 查看补丁列表 systeminfo 使用 wmic 查看补丁列表 wmic qfe...filename.txt 指定要排除的主机名的文件-o filename.txt 将所有输出重定向到指定的文件-d domain 指定要提取主机列表的域。...如果没有指定,则从当前域中提取主机列表-g group 指定搜索的组名。...NetBIOS NetBIOS 协议是由 IBM 公司开发,主要用于数十台计算机的小型局域网,根据 NetBIOS 协议广播获得计算机名称,并将其解析成相应的 IP 地址。...在本地通过 DCOM 执行命令 1、获取 DCOM 程序列表 Get-CimInstance 是 PowerShell 3.0 以上的版本自带的,因此只有 Windows Server 2012 及以上的操作系统才会自带
维基百科 说人话,TLS(Transport Layer Security)是一种加密通信协议,用于提高远程桌面连接的安全性。...(CMD)或 PowerShell 右键 Windows 微标键,选择 Windows PowerShell (管理员) 执行以下命令既可 wmic /namespace:\\root\cimv2\TerminalServices...该工具已被用于 WMI 的 Windows PowerShell 取代 Microsoft 微软 微软曾宣布,WMIC 已开始在 Windows Server 中弃用 wmic.exe,转而支持 Windows...Windows PowerShell (管理员),注意不能用命令提示符,必须用 PowerShell 执行下面命令 (Get-WmiObject -Namespace root\cimv2\TerminalServices...1.1 设置为禁用,效果如图 当然,顺带提一下,这一项也适用于客户端,像 Server 项那样配置 Client 项既可,我这边配置客户端启用 TLS 1.3 ,如图 尾声 在进行完所有配置之后,需要重启相关服务才能生效
和经典ASP.NET没关系) 使用powershell命令,在cmd下启动powershell powershell 然后依次执行 Enable-WindowsOptionalFeature-Online...执行 exit 退出 powershell 回到 cmd,我们要将 wmsvc 设置为开机自启动 scconfig wmsvc start=auto ?...再次键入 powershell,然后执行以下命令安装 choco Set-ExecutionPolicyBypass -Scope Process -Force; iex ((New-ObjectSystem.Net.WebClient...然后尝试访问 http/https 两个协议的网址,也就是你的VM DNS名称,忽略证书警告,应该都能打开 ?...万一打不开,或者无法连接远程服务器的IIS,可以先喝热水,然后到服务器上用 Powershell 的 Restart-Computer 命令重启试试。
powershell //切换到Powershell10)若要通过Powershell查看当前系统中所有属性可以执行如下命令操作,执行完毕后如图1-8所示。...WMI Client 在WMI交互时有很多客户端,我们在实战中可以根据不同的场景适当的去选择已有的客户端进行操作,接下来详细介绍可以用于实战中的WMI Client。...Poweshell支持WMI和CIM两种命令方式与WMI进行交互,两种命令方式的不同的点在于WMI命令只能用做于DCom协议,而CIM命令不仅支持DCom协议还支持WINRm协议,由此可见,CIM命令与...Winrm是WS 管理协议的 Microsoft 实现,WS 管理协议是一种基于简单对象访问协议 (SOAP) 的标准防火墙友好型协议,当我们开启winrm服务后占用的端口(默认情况下,Winrm http...WMI资源管理器允许用户浏览完整的WMI管理类集、对象及其属性,浏览远程计算机上的对象和设置,以及执行任何WQL查询和查看结果集6.WSHVBScript和JScript是Microsoft提供的两种WSH
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
