PowerShell 配置文件后门

最新推荐文章于 2025-04-14 10:56:23 发布
最新推荐文章于 2025-04-14 10:56:23 发布
阅读量1.5k 收藏 16
点赞数 27
CC 4.0 BY-SA版权
文章标签: 网络攻击模型 安全 网络安全 系统安全 web安全 安全架构 可信计算技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jijisaq/article/details/139030931

cmd 没有类似于 bash 的配置文件,但是 powershell 是有的

https://learn.microsoft.com/zh-cn/powershell/module/microsoft.powershell.core/about/about_profiles?view=powershell-7.4

PowerShell 控制台支持以下基本配置文件。配置文件按照执行顺序列出。

  • 所有用户,所有主机

    • Windows - $PSHOME\Profile.ps1

    • Linux - /opt/microsoft/powershell/7/profile.ps1

    • macOS - /usr/local/microsoft/powershell/7/profile.ps1

  • 所有用户,当前主机

    • Windows - $PSHOME\Microsoft.PowerShell_profile.ps1

    • Linux - /opt/microsoft/powershell/7/Microsoft.PowerShell_profile.ps1

    • macOS - /usr/local/microsoft/powershell/7/Microsoft.PowerShell_profile.ps1

  • 当前用户,所有主机

    • Windows - $HOME\Documents\PowerShell\Profile.ps1

    • Linux - ~/.config/powershell/profile.ps1

    • macOS - ~/.config/powershell/profile.ps1

  • 当前用户,当前主机

    • Windows - $HOME\Documents\PowerShell\Microsoft.PowerShell_profile.ps1

    • Linux - ~/.config/powershell/Microsoft.PowerShell_profile.ps1

    • macOS - ~/.config/powershell/Microsoft.PowerShell_profile.ps1

$PROFILE 自动变量存储当前会话中可用的 PowerShell 配置文件的路径。

若要查看配置文件路径,请显示 $PROFILE 变量的值。还可以在命令中使用 $PROFILE 变量来表示路径。

$PROFILE 变量存储“当前用户,当前主机”配置文件的路径。其他配置文件保存在 $PROFILE 变量的注释属性中。

例如,$PROFILE 变量在 Windows PowerShell 控制台中具有以下值。

  • 当前用户,当前主机 - $PROFILE

  • 当前用户,当前主机 - $PROFILE.CurrentUserCurrentHost

  • 当前用户,所有主机 - $PROFILE.CurrentUserAllHosts

  • 所有用户,当前主机 - $PROFILE.AllUsersCurrentHost

  • 所有用户,所有主机 -

最低0.47元/天 解锁文章
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShellPowershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
powershell渗透基础
qq_46804551的博客
04-30 1381
一旦攻击者可以在一台计算机上运行代码,就会下载powershell脚本文件(.ps1)到磁盘中 执行,甚至无需写到磁盘中执行,它可以直接在内存中运行,利用诸多特点攻击者可以持续攻击而不被轻易发现。 常用的powershell攻击工具有以下几种: powerSploit: 常用于信息探测,权限提升,凭证窃取,持久化等操作 Nishang: 基于powershell的渗透测试专用工具,集成了框架,脚本和各种payload,包含下载和执行,键盘记录,DNS,延时命令等脚本 Empire: 基于powe
Powershell Profiles配置文件的存放位置介绍
01-20
适用于:Windows PowerShell 2.0, Windows PowerShell 3.0 当我们打开一个PowerShell对话框,并在里面创建一些变量(variables)、函数(functions)时,这些变量、函数均只在当前会话中有效。一旦我们关闭这个对话框重新打开PowerShell时,这些变量都不存在了。如果我们想保留这些设置,我们就需要用到profile,翻译过来就是配置文件。在PowerShell启动的时候,会自动导入配置文件里面的设置。这有点像autorun.bat,如果有dos系统还有印象的朋友,应该知道这个。 配置文件存放于如下几个地方,不同的配置文件,作用域不
PowerShell配置文件后门
shiyingai
12-18 1226
  PowerShell 配置文件是在 PowerShell 启动时运行的脚本。   在某些情况下,攻击者可以通过滥用PowerShell配置文件来获得持久性和提升特权。修改这些配置文件,以包括任意命令,功能,模块和/或PowerShell驱动器来获得持久性。 案例 echo $profile Test-path $profile # 结果返回false,表示没有该文件 New-Item –Path $Profile –Type File –Force # 强制创建一个 $string = 'S
掌握PowerShell配置文件与技巧
最新发布
weixin_35751412的博客
04-14 394
本文详细探讨了PowerShell配置文件的重要性及如何利用它们来个性化和优化PowerShell的使用体验。文章通过深入解析PowerShell的个人资料脚本,展示了如何设置窗口标题以显示用户状态,以及如何利用PSCX创建和管理用户特定的配置文件,从而确保每次启动PowerShell时都能加载必要的设置和别名。
APT35 启用了新 PowerShell 后门
老司机的后备箱
07-27 222
近日,研究人员发现 Phosphorus(又名 CharmingKitten、APT35)组织的攻击行动有所增长。业界多次发现该组织对各行各业机构或人士发起攻击,甚至干预美国总统选举。Cybereason 的研究人员最近发现 APT35 使用了名为PowerLess的新型 PowerShell 后门。该后门通过在 .NET上下文中直接运行而非生成 PowerShell 进程来规避 PowerShell 安全检测。在攻击行动中使用的新工具集并不止新的 PowerShell
权限维持——powershell配置文件后门
mingyqf的博客
02-18 884
0x05 powershell配置文件后门 Powershell配置文件其实就是一个powershell脚本,他可以在每次运行powershell的时候自动运行,所以可以通过向该文件写入自定义的语句用来长期维持权限。 依次输入以下命令,查看当前是否存在配置文件。 echo $profile Test-path $profile 如果返回false则需要创建一个 New-Item -Path $profile -Type File –Force 然后写入命令,这里我以创建一个用户为目标,也可以写成反弹s
Windows权限维持之powershell配置文件后门(六)
2303_78851087的博客
03-03 516
Windows权限维持之powershell配置文件后门(六)
掌握反向PowerShell:实施TCP命令接收的持久后门技术
client.ps1脚本被托管在攻击者选择的位置,用于下载并执行install.bat,从而安装一个持久的PowerShell后门。攻击者运行server.ps1后,就可以向受害者获取一个反向PowerShell提示。" 在详细解释这个过程之前,我们...
掌握后开发:精选PowerShell脚本与模块
3. 强化配置:通过组策略和PowerShell配置文件(如ExecutionPolicy)限制可疑活动。 4. 定期更新:保持操作系统和安全软件的更新,以减少潜在的漏洞。 5. 安全意识培训:对IT人员和用户进行安全意识培训,教育他们...
PowerShell高级配置
weixin_34228617的博客
05-06 703
PowerShell高级配置场景:远程执行PowerShell脚本传递PSObject对象,提示从远程客户端计算机接收的数据的当前反序列化对象大小超过允许的最大对象大小。当前反序列化对象大小为10572800,允许的最大对象大小为10485760。如下图:修改远程服务器默认配置限制:Set-PSSessionConfiguration -name Microsoft.powe...
PowerShell中获取当前运行脚本路径的方法
09-21
主要介绍了PowerShell中获取当前运行脚本路径的方法,获取方法很简单,本文直接给出实现代码,需要的朋友可以参考下
程序员的windows powershell配置
dong_junjun的博客
11-29 647
scoop, powershell, oh-my-posh
PowerShell 常用路径
qq_52317104的博客
10-30 1673
#Powershell的安装路径,该路径下是powershell配置文件 $pshome #模块的注册路径 $PSModulePath
Windows 系统之 PowerShell
MicroMehhh的博客
11-20 1550
官网:https://learn.microsoft.com/en-us/powershell/module/psreadline/1)DOS 下安装,命令:Install-Module -Name PSReadLine -AllowClobber -Force。参考:https://blog.csdn.net/qq_34548075/article/details/120108864。参考:https://zhuanlan.zhihu.com/p/401439255。:搜索以前输入的命令,回车执行。
Powershell 获取某文件路径作为文件对象
Q215046120的博客
08-28 2984
例如桌面下存在文件"1.txt" 直接上Code: $sFilePath = "$env:USERPROFILE\Desktop\1.txt"; $file = [io.fileinfo]$sFilePath; # 文件目录 write-host ($file.DirectoryName); # 全文件名 write-host ($file.Name); # 纯文件名 write-host ...
PowerShell管理文件和文件夹
weixin_33871366的博客
04-29 793
(一)查询 使用 Get-ChildItem 直接获取某个文件夹中的所有项目。 添加可选的 Force 参数以显示隐藏项或系统项。为了显示包含的项,你还需要指定 -Recurse 参数。 (这可能需要相当长的时间才能完成。) Get-ChildItem -Path C:\ -Force Get-ChildItem -Path C:\ -Force -Recurse Get-ChildItem 可以...
powershell_配置文件与脚本编写(模板字符串插值/运算符与表达式/函数参数/控制流)(by offical)
xuchaoxin1375的博客
11-08 2004
文章目录获取对象属性插值简单值:`$`较复杂值:`$()`参数参数声明(basic)分配类型:参数说明(with `parameter[]`) link 获取对象属性 <object> | select-object * 例如 $Profile | Select-Object * 插值 在双引号中可以插值 简单值:$<expression> 较复杂值:$(<complex expression>) 插值可以嵌套! eg. Write-Host "Created bac
设置PowerShell打开默认路径是桌面,方便在桌面运行py程序
小板的博客
06-22 1472
为了允许脚本运行,你可以将执行策略设置为 RemoteSigned 或 Unrestricted。下面的命令将执行策略更改为 RemoteSigned,这通常是推荐的安全设置。更改执行策略可能会影响系统安全性。RemoteSigned 是推荐的设置,因为它只允许本地脚本和从可信来源下载的签名脚本运行。通过这些步骤,你应该能够更改 PowerShell 的默认路径,并解决执行策略的限制问题。在配置文件中添加以下行,以将默认路径设置为你希望的路径。系统会提示你确认更改,输入 Y 并按 Enter 以确认。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吉吉说安全

感谢打赏,交个朋友!有困难找我

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值