本文目录一览:
- 1、黑客 为什么 用powershell
- 2、powershell.exe是什么鬼?
- 3、哪些方法可以绕过PowerShell Execution Policy
- 4、windows powershell 怎么扫描共享文件夹
- 5、win10家庭版怎样开启guest?
- 6、挖矿 没服务
黑客 为什么 用powershell
Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework 的强大功能。
它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。
Windows PowerShell v3将伴随着MicrosoftHyper-V3.0和Windows Server 2012发布。PowerShell v3是一个Windows任务自动化的框架,它由一个命令行shell和内置在这个.NET框架上的编程语言组成。
PowerShell v3采用新的cmdlet让管理员能够更深入到系统进程中,这些进程可以制作成可执行的文件或脚本(script)。一条cmdlet是一条轻量命令,Windows PowerShell运行时间在自动化脚本的环境里调用它。Cmdlet包括显示当前目录的Get-Location,访问文件内容的Get-Content和结束运行进程的Stop-Process。
PowerShell v3在Windows Server 8中装载了Windows Management Framework 3.0。PowerShell运行时间也能嵌入到其它应用。
powershell.exe是什么鬼?
powershell.exe是木马。
木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。
木马病毒其实是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。
一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。可以对被控计算机实施监控、资料修改等非法操作。木马病毒具有很强的隐蔽性,可以根据黑客意图突然发起攻击。
以上内容参考百度百科——木马
哪些方法可以绕过PowerShell Execution Policy
默认情况下,PowerShell禁止PowerShell脚本在Windows系统中执行。这会妨碍渗透测试员,系统管理员,和开发人员……在这里我将在没有系统管理员权限的情况下通过15个方法来绕过PowerShell execution policy。
我肯定还有很多的技术漏了(或者我根本不知道),但希望这篇文章将给需要它的人提供一个良好的开端。
什么是PowerShell Execution Policy?
PowerShell execution policy 是用来决定哪些类型的PowerShell脚本可以在系统中运行。默认情况下,它是“ Restricted ”(限制)的。然而,这个设置从来没有算是一种安全控制。相反,它会阻碍管理员操作。这就是为什么我们有这么多绕过它的方法。包括一些微软提供的。更多关于在PowerShell执行政策设置,默认的安全控制的设置。我建议阅读Carlos Perez的 博客 。他提供了一个很好的概述。
为什么要绕过执行政策?
我听到的最多的原因是因为人们希望实现自动化操作,但下面还有一些其他原因致使PowerShell在管理员、渗透测试员、黑客们手中如此流行:
支持Windows
能调用Windows API
能在不写入磁盘的情况下运行命令
能避免病毒的检测
总是被标记为"信任"。是大部分应用程序的白名单一员。
曾写出过许多的开源渗透测试工具包
如何查看Execution Policy
在能够使用所有完美功能的PowerShell之前,攻击者可以绕过“Restricted”(限制)execution
policy。你可以通过PowerShell命令“executionpolicy“看看当前的配置。如果你第一次看它的设置可能设置为
“Restricted”(限制),如下图所示
PS C: Get-ExecutionPolicy
同样值得注意的是execution policy可以在系统中设置不同的级别。要查看他们使用下面的命令列表。更多信息可以点击这里查看微软的“Set-ExecutionPolicy” 。
Get-ExecutionPolicy -List | Format-Table -AutoSize
实验环境说明
在下面的例子中我将使用一个名为runme.ps1的脚本,它将包含以下PowerShell命令来写出一个消息到控制台:
Write-Host "My voice is my passport, verify me."
当我试图在一个带有默认execution policy的系统上执行它时,我得到以下错误:
如果你目前的execution
policy是开放的,你想让它更严格的测试,下面的技巧,然后从管理员PowerShell控制台运行命令“Set-ExecutionPolicy
Restricted”。OK,那我接着BB了,接下来我会通过15种方法来绕过PowerShell execution policy的限制。
绕过PowerShell Execution Policy
1. 把脚本直接粘贴到交互式的PowerShell控制台
复制并粘贴你的PowerShell脚本为一个交互式控制台如下图所示。但是,请记住,你将被当前用户权限限制。这是最基本的例子,当你有一个交互控制台时,可以方便快速地运行脚本。此外,这种技术不会更改配置或需要写入磁盘。
2. Echo脚本并PowerShell的标准输入
简单的ECHO脚本到PowerShell的标准输入。这种技术不会导致配置的更改或要求写入磁盘。
Echo Write-Host "My voice is my passport, verify me." | PowerShell.exe -noprofile -
3. 从文件中读取脚本并通过PowerShell的标准输入
使用Windows的"type"命令或PowerShell的"Get-Content"命令来从磁盘读取你的脚本并输入到标准的
PowerShell中,这种技术不会导致配置文件的更改,但是需要写入磁盘。然而,如果你想试图避免写到磁盘,你可以从网络上读取你的脚本。
例1:Get-Content Powershell命令
Get-Content .runme.ps1 | PowerShell.exe -noprofile -
例2:Type 命令
TYPE .runme.ps1 | PowerShell.exe -noprofile -
4. 从网络上下载脚本并通过IEX执行它
这种技术可以用来从网上下载一个PowerShell脚本并执行它无需写入磁盘。它也不会导致任何配置更改。我已经看到它有许多创造性的使用方法,但最近看到它被引用到一个不错的Matt Graeber的PowerSploit博客上。
powershell -nop -c "iex(New-Object Net.WebClient).DownloadString('')"
5. 使用Command
这种技术和通过复制和粘贴来执行一个脚本是非常相似的,但它可以做没有交互式控制台。这是很好的方式适合执行简单的脚本,但更复杂的脚本通常容易出现错误。这种技术不会导致配置更改或要求写入磁盘。
例1:完整的命令
Powershell -command "Write-Host 'My voice is my passport, verify me.'"
例2:简短的命令
Powershell -c "Write-Host 'My voice is my passport, verify me.'"
6. 使用EncodeCommand
这和使用"Command"命令非常像,但它为所有的脚本提供了一个Unicode /
Base64编码串。通过这种方式加密你的脚本可以帮你绕过所有通过"Command"执行时会遇到的错误。这种技术不会导致配置文件的更改或要求写入磁
盘。下面的示例来自 Posh-SecMod。
例1: 完整的命令
$command = "Write-Host 'My voice is my passport, verify me.'" $bytes = [System.Text.Encoding]::Unicode.GetBytes($command) $encodedCommand = [Convert]::ToBase64String($bytes) powershell.exe -EncodedCommand $encodedCommand
例2: 通过简短的命令使用编码串
powershell.exe -Enc VwByAGkAdABlAC0ASABvAHMAdAAgACcATQB5ACAAdgBvAGkAYwBlACAAaQBzACAAbQB5ACAAcABhAHMAcwBwAG8AcgB0ACwAIAB2AGUAcgBpAGYAeQAgAG0AZQAuACcA
7. 使用Invoke-Command命令
我在obscuresec的博客看到了这种有趣的方法。这是一个典型的通过交互式PowerShell控制台执行的方法。但最酷的是当PowerShell远程处理开启时我可以用它来对远程系统执行命令。这种技术不会导致配置更改或要求写入磁盘。
invoke-command -scriptblock {Write-Host "My voice is my passport, verify me."}
基于obscuresec博客,下面的命令还可以用来抓取从远程计算机的execution policy并将其应用到本地计算机。
invoke-command -computername Server01 -scriptblock {get-executionpolicy} | set-executionpolicy -force
8. 使用Invoke-Expression命令
这是另一个典型的通过交互式PowerShell控制台执行的方法。这种技术不会导致配置更改或要求写入磁盘。下面我列举了一些常用的方法来通过Invoke-Expression绕过execution policy。
例1:使用Get-Content的完整命令
Get-Content .runme.ps1 | Invoke-Expression
例2:使用Get-Content的简短的命令
GC .runme.ps1 | iex
9.使用"Bypass"标记Execution Policy
当你通过脚本文件执行命令的时候这是一个很好的绕过execution policy的方法。当你使用这个标记的时候"没有任何东西被阻止,没有任何警告或提示"。这种技术不会导致配置更改或要求写入磁盘。
PowerShell.exe -ExecutionPolicy Bypass -File .runme.ps1
10. 使用"Unrestricted"标记Execution Policy
这类似于"Bypass"标记。当你使用这个标记的时候,它会"加载所有的配置文件并运行所有的脚本。如果你运行从网上下载的一个未被签名的脚本,它会提示你需要权限",这种技术不会导致配置的更改或要求写入磁盘。
PowerShell.exe -ExecutionPolicy UnRestricted -File .runme.ps1
11. 使用 "Remote-Signed"标记Execution Policy
创建你的脚本,然后按照教程的操作。最后,使用下面的命令运行它:
PowerShell.exe -ExecutionPolicy Remote-signed -File .runme.ps1
12. 通过交换AuthorizationManager禁用ExecutionPolicy
这真是一个我碰到的来自的创意。下面的函数可以通过一个交互式的PowerShell来执行。一旦函数
被调用"AuthorizationManager"就会被替换成空。最终结果是,接下来的会话基本上不受execution
policy的限制。然而,它的变化将被应用于会话的持续时间。
function Disable-ExecutionPolicy {($ctx = $executioncontext.gettype().getfield("_context","nonpublic,instance").getvalue( $executioncontext)).gettype().getfield("_authorizationManager","nonpublic,instance").setvalue($ctx, (new-object System.Management.Automation.AuthorizationManager "Microsoft.PowerShell"))} Disable-ExecutionPolicy .runme.ps1
13. 把ExcutionPolicy设置成Process Scope
正如我们在引言中所看到的,执行策略可以应用于多层次的。这包括你控制的过程。使用这种技术,执行策略可以被设置为您的会话的持续时间不受限制。此外,它不会导致在配置更改,或需要写入到磁盘。我最初发现这种技术来自r007break博客。
Set-ExecutionPolicy Bypass -Scope Process
14. 通过命令设置ExcutionPolicy为CurrentUser Scope
这种方法和上面那种类似。但是这种方法通过修改注册表将当前用户环境的设置应用到当前用户的环境中。此外,它不会导致在配置更改,或需要写入到磁盘。我最初发现这种技术来自r007break博客。
Set-Executionpolicy -Scope CurrentUser -ExecutionPolicy UnRestricted
15. 通过注册表设置ExcutionPolicy为CurrentUser Scope
在这个例子中,我展示了如何通过修改注册表项来改变当前用户的环境的执行策略。
HKEY_CURRENT_USER\Software\MicrosoftPowerShell\1\ShellIds\Microsoft.PowerShell
总结
我觉得这里的主题是:使用的execution policy不一定是开发商,管理员,或者。微软从来没有打算将它成为一个安全控制。这就是为什么有这么多选择绕过它。微软很好地提供了一些本地选项和安全社区也拿出一些真正有趣的把戏。
windows powershell 怎么扫描共享文件夹
扫描的文件传不到电脑里的共享文件夹,原因如下:1、再次检查扫描仪的内部设置,在点击保存时的文件夹是否勾选上。
2、检查电脑上的共享文件夹名称是否被恶意更改过。解决 办法:纠正共享文件夹名称。
3、利用 杀毒软件进行全盘扫描,是否被病毒感染或黑客攻击。解决 办法:重启电脑,再次扫描。
4、检查电脑扫描程序,是否被恶意删除扫描程序。解决办法,重启电脑,重新安装扫描软件 。
win10家庭版怎样开启guest?
windows启用guest用户一般又3种方式,通过图形化界面或cmd命令行:
1、打开运行输入cmd回车,输入:net user guest /active:yes 即可启用guest账号
2、点击开始控制面板用户账户管理其他账户点击guest账户点击启用
3、右击我的电脑管理本地用户和组选择guest用户去掉勾选的禁用账户保存即可生效
1、guest
Guest原意是“客人”、“旅客”、“访客”的意思。在计算机中,Guest是指让给客人访问电脑系统的帐户。在Windows XP操作系统中称之为“来宾帐户”。
2、基本信息
与“Administrator”和“User”不同的通常这个帐户没有修改系统设置和进行安装程序的权限也没有创建修改任何文档的权限只能是读取计算机系统信息和文件。
挖矿 没服务
根据某安全公司安全威胁检测到在2019年中,恶意软件拦截量为181.07亿次,其中挖矿类恶意软件感染占比最多(58%),其次为远程木马(占比14%),企业或组织内文件共享等机制也使得感染型病毒的比例在9%左右。恶意软件一哥挖矿软件攻击势头非常猛,加密货币挖矿流量较去年增长约100%,在类型上也趋向隐性更好的币种,隐蔽性更好的无文件挖矿也给企业或组织带来了严峻的考验。
由于挖矿对计算机的性能要求比较高,老谋深算的矿工就把罪恶的双手伸向了企业,通过各种手段入侵到各个单位的内网,运行挖矿程序,利用别人的计算资源挖矿,自己坐享其成,的确是高手高手高高手。如何快速地识别内网中是否有挖矿成为了当下网络环境中重要的环节,可以从以下几个方面快速定位.查看任务管理器计算机一旦执行了挖矿程序,会占用大量的CPU资源,CPU占用100%,此时服务器就会变得异常卡顿。Linux执行top命令查看当前进程负载,可以看到这个watchbog的进程CPU占用100%,而Linux的正常进程是watchdog,很明显,这个进程是黑客估计混淆视听的。2.查看计划任务启动项攻击者成功入侵后,一般都会设定计划任务或启动项,这样每次重启机器后都会自动启动挖矿程序。Windows:从任务管理中可以看到,有一条使用powershell执行的命令,每5分钟执行一次
PoS(Proof of Stake)挖矿:其实是模仿 PoW 算力挖矿,持币人可以将 Token(相当于算力挖矿中的算力)抵押给验证人节点(大多是钱包方,或者交易平台。),来获得节点奖励分红。不同的 Token,由于其机制的不同,获得的收益可能完全不同,但是,这里并不是收益越高越好,还要考虑代币的价值,因为代币抵押后,解锁也需要花十多天时间(为了降低代币的流通量)。要知道,在这个行业,一天 Token 价格的波动可能就会抵消掉你的 挖矿奖励。所以 一定要慎重,选择出自己非常看好的 Token 才做 ,否则可能得不偿失。