不使用 powershell.exe 的情況下，可以運(yùn)行 powershell 腳本和命令么？

可以的！

本文總結(jié)了6款可直接運(yùn)行 powershell 腳本和命令的工具，獻(xiàn)給所有的滲透測(cè)試人員和紅隊(duì)成員，因?yàn)檫@對(duì)于他們來(lái)說(shuō)，是尋找在后漏洞利用階段使用 PowerShell 腳本或命令行的最佳技術(shù)，而不需要運(yùn)行 PowerShell.exe，從而避免被下一代殺毒軟件、 EDR 或藍(lán)隊(duì)或威脅追蹤團(tuán)隊(duì)捕獲。文章有點(diǎn)長(zhǎng)，請(qǐng)耐心觀看。

在網(wǎng)上，我們嘗試和分析適合這個(gè)目的的不同工具。 對(duì)于每一個(gè)工具，都給出了評(píng)分。如果你也有其他的工具，歡迎評(píng)論區(qū)留言告訴我。下面是本文中測(cè)試的工具列表：

PowerLine→ 得分: 9

NPS — Not PowerShell→ 得分: 4

PowerShdll→ 得分: 7

PowerLessShell→ 得分: 5

Nopowershell→ 得分: 6

SyncAppvPublishingServer→ 得分: 7

工具分析

1、PowerLine

Brian Fehrman (@fullmetalcache)創(chuàng)建的非常好的實(shí)用程序，可以直接調(diào)用 PowerShell 腳本而不需要調(diào)用 PowerShell 程序。

這個(gè)工具是用 C# 編寫(xiě)的，可以完全通過(guò)命令行使用，包括遠(yuǎn)程使用。 簡(jiǎn)而言之，你可以使用已經(jīng)存在的 PowerShell 腳本，而無(wú)需使用 PowerShell.exe。

PowerLine 的主要特點(diǎn)有：

· 易于部署和構(gòu)建——不需要 Visual Studio

· 能夠自動(dòng)檢測(cè) Win7或 Win10系統(tǒng)

· 能夠作為 PowerShell 終端使用

· 能夠通過(guò) XML 設(shè)置指定要包含的遠(yuǎn)程腳本(腳本保留在內(nèi)存中)

· 能夠在每次構(gòu)建中生成并用于異或(XOR) 腳本的隨機(jī)字節(jié)

下面是使用詳情：

一旦在計(jì)算機(jī)上實(shí)現(xiàn)了遠(yuǎn)程代碼執(zhí)行，獲得一個(gè)令人滿意的后漏洞利用是非常重要的。

運(yùn)行一系列 PowerShell 工具來(lái)促進(jìn)這項(xiàng)工作是很有意思的，比如: Meterpreter、 Mimikatz、 PowerView、 PowerUp、 Inveigh 等等。

為了方便起見(jiàn)，下面的截圖是我從 PowerShell 中截取的。 同樣的命令可以直接從 CMD 啟動(dòng)，從而完全避免在首次編譯階段也使用 PS。

部署

部署非常簡(jiǎn)單且模塊化。 要擁有一個(gè)功能版本的 PowerLine，必須遵循以下步驟：

· 下載代碼儲(chǔ)存庫(kù):https://github.com/fullmetalcache/PowerLine

· 運(yùn)行 build.bat 文件

build.bat 運(yùn)行后的輸出內(nèi)容

· 更新 UserConf.xml 使其包含你想要包含的腳本的 URL

包含自定義的 Mimikatz ps1 腳本的 UserConf.xml 文件

· 運(yùn)行 PLBuilder.exe 文件

· 現(xiàn)在 PowerLine.exe就會(huì)創(chuàng)建程序，并包含你指定的所有腳本，這些腳本會(huì)經(jīng)過(guò)嵌入、 xor 編碼、 base64編碼處理。

執(zhí)行：

如果所有部署步驟都成功，則應(yīng)該將 PowerLine.exe 可執(zhí)行文件發(fā)送給受害者。 可以使用 certutil 從遠(yuǎn)程主機(jī)獲取可執(zhí)行文件。 如果你直接在受害者機(jī)器上下載原始 Github 代碼庫(kù)，你可以使用本地 PowerLine.exe 文件。 下面是示例用法：

顯示所有已導(dǎo)入的腳本

通過(guò) PowerLine.exe 調(diào)用 PowerUp 工具

目前，這個(gè)工具在編譯階段能夠繞過(guò)更新到最新版本 1903 的 Windows 10 中的 Windows Defender。 顯然，根據(jù)正在加載的腳本，這個(gè)方法有可能逃避防病毒檢測(cè)。

以 Mimikatz 為例，由于我加載了一個(gè)基本版本，所以會(huì)被 Windows Defender 阻止掉，但是對(duì)于其他常見(jiàn)的惡意腳本，則可以成功繞過(guò)。

例如，導(dǎo)入 WCMDump Ps1 腳本，就可以在不使用 Powershell.exe 的情況下繞過(guò) Windows Defender ，從而運(yùn)行腳本：

沒(méi)有 PowerLine 的標(biāo)準(zhǔn)惡意命令行：

嘗試下載并在內(nèi)存中執(zhí)行腳本

將腳本下載到本地并運(yùn)行，但 Defender 會(huì)阻止腳本運(yùn)行

來(lái)自 Windows Defender 的檢測(cè)提示

使用 PowerLine 繞過(guò) Windows Defender:

該腳本被正確導(dǎo)入并在不觸發(fā)殺軟的情況下運(yùn)行

考慮因素:

PowerLine 看起來(lái)似乎是一個(gè)很好的工具，可以繞過(guò)殺軟 和 EDR，后者實(shí)際上會(huì)過(guò)度控制 PowerShell 啟動(dòng)的惡意命令行。

在 Windows 進(jìn)程樹(shù)中，命令行由 PowerLine.exe 進(jìn)程執(zhí)行。 顯然，這個(gè)工具和相關(guān)檢測(cè)依賴于加載的腳本。如果 AV 或 EDR 檢查腳本的行為，而不是啟動(dòng)腳本的進(jìn)程，那么對(duì)于藍(lán)隊(duì)來(lái)說(shuō)可能會(huì)有額外的檢測(cè)。

這個(gè)工具的一個(gè)缺點(diǎn)是，每次你想加載一個(gè)新的腳本時(shí)，你必須把它添加到配置文件中，這可能會(huì)減緩后漏洞利用活動(dòng)，但這取決于你在滲透測(cè)試活動(dòng)中有多少時(shí)間。

你還可以在啟動(dòng)攻擊之前創(chuàng)建一個(gè)自定義版本，其中包含你需要的所有腳本。簡(jiǎn)而言之，PowerLine對(duì)于后漏洞利用中的規(guī)避是非常有用的，但是它的擴(kuò)展性和速度都不是很快。

這個(gè)工具繞過(guò)反病毒檢測(cè)的真正附加值是腳本編碼。

得分: 9票

官方鏈接: https://github.com/fullmetalcache/PowerLine

2、NPS —— Not PowerShell

這個(gè)工具的所有版本目前都可以被標(biāo)準(zhǔn)的 Windows Defender 檢測(cè)到，因此我們把它放到了頂級(jí)工具列表中。 因?yàn)槲覀冎烙泻芏嗉t隊(duì)成員有很強(qiáng)的抑制或繞過(guò)殺毒的能力，所以我們嘗試使用同樣的工具，但是至少在下載階段就會(huì)被 Windows Defender 阻止掉。 顯然，總是有可能下載完整的代碼庫(kù)，并編譯自己的自定義版本，可能不會(huì)被 AV 檢測(cè)到。

下面是使用命令:

cmdline:?nps.exe?"{powershell?single?command}"?nps.exe?"&?{commands;?semi-colon;?separated}"?nps.exe?-encodedcommand?{base64_encoded_command}?nps.exe?-encode?"commands?to?encode?to?base64"?nps.exe?-decode?{base64_encoded_command}

我嘗試編碼一個(gè)惡意的腳本并運(yùn)行。 很明顯，這是因?yàn)?Windows Defender 沒(méi)有運(yùn)行。 一旦你重新激活 Windows Defender，它會(huì)立即檢測(cè)出可執(zhí)行文件是惡意的并將其消除。 查看 Windows 進(jìn)程樹(shù)可以注意到，啟動(dòng) powershell 命令的唯一進(jìn)程總是 nps.exe，而 powershell 可執(zhí)行文件從未被調(diào)用，但它們的檢測(cè)率是相同的。

考慮因素:

這個(gè)工具可以在特別不安全的環(huán)境中考慮使用，在這種環(huán)境中，紅隊(duì)希望較少的留下惡意的“ powershell”命令行的痕跡。 在所有其他情況下，使用這個(gè)工具會(huì)被殺軟檢測(cè)到，所以你的努力將是無(wú)用的。

得分: 4票

鏈接: https://github.com/Ben0xA/nps

3、PowerShdll

此工具只允許使用 dll 運(yùn)行 PowerShell。這個(gè)工具之所以不需要訪問(wèn) powershell.exe，是因?yàn)樗褂?powershell 自動(dòng)化 dll。 可以使用以下命令運(yùn)行 PowerShdll: rundll32.exe、 installutil.exe、 regsvcs.exe、 regasm.exe、 regsvr32.exe 或作為獨(dú)立的可執(zhí)行文件運(yùn)行。

用法示例：

Rundll32?Usage:rundll32?PowerShdll,main

總結(jié)

以上是生活随笔為你收集整理的bat脚本交互输入_测评 | 不使用powershell运行 PowerShell 脚本的工具汇总的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。