监控渗透测试中powershell白名单利用行为

最新推荐文章于 2025-03-08 19:25:34 发布
最新推荐文章于 2025-03-08 19:25:34 发布
阅读量780 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 白名单利用 ATT&CK 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334464/article/details/106008009

简介

您可以使用PowerShell.exe从另一个工具(例如Cmd.exe)的命令行启动PowerShell会话,也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。

补充说明:在高版本powershell(V5以上含V5)中,可以通过配置策略,对进程命令行参数进行记录,具体策略可参考powershell事件。同样也可以在不同版本操作系统中部署sysmon,通过sysmon日志进行监控。

基础日志

windows 安全日志/SYSMON日志(需要自行安装)

测试复现

环境准备

攻击机:Kali2019

靶机:win7(sysmon)

攻击分析

生成payload

下载我们本次测试中要用到的powercat,下载地址:https://github.com/besimorhino/powercat

开启小型http服务

powercat目录下执行以下命令:

root@12306Br0:~# python2 -m SimpleHTTPServer 80
Serving HTTP on 0.0.0.0 port 80 ...
最低0.47元/天 解锁文章

200万优质内容无限畅学
一种“白技术”利用绕过杀软执行payload
qq_35586293的博客
09-16 1557
曾经在学校接触过APT攻击,抱着对其心技术的兴趣。闲来无事,自己也尝试着利用“白利用”技术构造钓鱼文档执行payload,侥幸的是也成功绕过瑞星、火绒等杀毒软件。 在本文中,我将向大家介绍一种APT常用的攻击手法,通过构造恶意的宏文档执行payload。 本次构造的payload所使用的一款白程序是certutil.exe。该程序是一个Windows系统的内置程序,用于管理Windows中的证书。...
网络安全-渗透完整笔记
03-27
免杀技术,即避免安全软件检测,也是渗透过程中不可或缺的部分,可能涉及payload的分离和伪装,以及利用白名单程序如Msbuild.exe、Installutil.exe等执行payload。 总的来说,网络安全的渗透测试是一门综合性的技术...
使用Powershell对目标进行屏幕监控
Fly_鹏程万里
05-24 2672
0x00前言Nishang是基于PowerShell渗透测试专用工具。集成了框架、脚本和各种payload。这些脚本是由Nishang的作者在真实渗透测试过程中有感而发编写的,具有实战价值。包括了下载和执行、键盘记录、dns、延命令等脚本。今天要给大家介绍的是如何通过powershell对目标的屏幕进行实监控。脚本下载地址如下:https://raw.githubusercontent.co...
通过机器学习来检测Powershell恶意行为
Ping_Pig的博客
08-12 940
讲在前面 国内外的各大厂商以及各类研究员多年来对在网络威胁中使用Powershell进行渗透的行为了不同形式的报告,那么,为什么Poweshell在近几年的渗透中很受攻击中追捧呢,最大的特点就是Powershell的灵活性和丰富的功能使常规检测形同虚设。这篇文章在火眼(FireEye)的通过机器学习来检测Powershell恶意行为研究基础上进行部分修改后展示。 通过这篇文章,读者将会简单学习到: 为什么传统的“基于签名”或“基于规则”的检测引擎检测Powershell的威胁会遇到瓶颈 如何使用自
PowerShell 漏洞利用 — 现代 APT 组织及其恶意脚本战术
ZL_1618的博客
03-08 818
混淆是一种使代码难以理解的方法。这就像写一个只有你知道如何阅读的秘密信息。在讨论 AMSI ,混淆经常被用来尝试欺骗它。隐藏真实含义 → 混淆改变代码的外观而不改变其功能。例如,不写"Hello",你可能会写"H" + “e” + “l” + “l” + “o”。它仍然表示"Hello",但看起来不同。制造混乱 —> 混淆添加不执行任何重要操作的额外内容。这就像在句子中添加随机词来混淆阅读者。使用奇怪的名称,代码中使用随机或误导性的名称,而不是使用清晰的名称。
::ZheTian / 遮天 强大的Anti-Virus对抗工具
09-29 1422
::ZheTian / 遮天 强大的Anti-Virus对抗工具。
利用PowerShell实现TCP通信旁路技术
- 在可能的情况下,使用白名单控制允许运行的PowerShell脚本。 #### 8. 标签和文件名称分析 文件的【标签】只有一个"PowerShell",这表明该文件或脚本与PowerShell紧密相关。而文件名称“Invoke-PowershellTCP-...
使用PowerShell Empire实现有效漏洞利用及持久性访问
在本章节中,我们将深入了解PowerShell Empire,包括其特性、优势以及在渗透测试中的应用。 ## 1.1 什么是PowerShell Empire PowerShell Empire是由PowerShell和Python编写的渗透测试框架,旨在模拟高级威胁行为,...
win11 UAC白名单
最新发布
04-30
好的,用户现在想在Windows 11中配置UAC白名单以实现无提示提权,或者配置受信任的自签名证书。首先,我需要回顾之前的对话。用户之前问过如何用自签名证书实现无提示提权,我详细解释了生成证书、系统信任植入和提...
docker host net mtu (by quqi99)
技术并艺术着
03-06 1819
作者:张华 发表于:2021-03-06 版权声明:可以任意转载,转载请务必以超链接形式标明文章原始出处和作者信息及本版权声明 在一个gre虚机上创建一个docker container,显然网络不通是由mtu造成的。但是如果host=net创建的网络为什么也是不行呢? sudo docker run --rm --net=host --privileged --name=nginx -v /sys/fs/cgroup:/sys/fs/cgroup -d -ti nginx sudo docker exe
Linux 网络管理
白话机器学习
08-08 417
下载文件 - 使用 curl、wgettelnet 方式登录远程主机,对远程主机进行管理 - 使用 telnet查看或操纵 Linux 主机的路由、网络设备、策略路由和隧道 - 使用 ip查看和设置系统的主机名 - 使用 hostname查看和配置 Linux 内核中网络接口的网络参数 - 使用 ifconfig查看和设置 Linux 内核中的网络路由表 - 使用 routessh 方式连接远程主机 - 使用 ssh为 ssh 生成、管理和转换认证密钥 - 使用 ssh-keygen查看、设置防火墙(Cen
靶机渗透练习31-Funbox10-Under Construction
hirak0的博客
04-18 1618
靶机描述 靶机地址:https://www.vulnhub.com/entry/funbox-under-construction,715/ Description As always, it’s a very easy box for beginners. This works better on VitualBox rather than VMware 一、搭建靶机环境 攻击机Kali: IP地址:192.168.9.7 靶机: IP地址:192.168.9.49 注:靶机与Kali的IP地
Powershell使用小技巧-需持续更新
sdyu_peter的博客
06-04 3060
使用$Alias:dir查询dir的cmdlet,其他命令类似:PS C:\Users\Administrator\Desktop> $Alias:dir Get-ChildItem PS C:\Users\Administrator\Desktop> $Alias:ls Get-ChildItem PS C:\Users\Administrator\Desktop> $Alia...
Vulnhub靶机渗透-DC7
XYZCG的博客
04-26 927
访问https://www.drupal.org/project/php/releases/8.x-1.1下载tar.gz类型的包,在Extend模块下进行安装并启用,回到Content模块新建页面写入。往脚本内写入反弹shell,监听相关端口等待一段挺长的间后定任务触发,拿到权限(我这里用了同样的端口所以得先退出当前www-data的shell)这段文本是一个电子邮件通知,具体是由系统上的cron守护程序(定任务)发送的。如果目录不存在,你会收到一个错误消息,就像你在电子邮件通知中看到的那样。
Linux nc常用命令
苟有恒,必有三更眠,五更起。
04-03 1627
Linux nc常用命令 Linux中nc命令是一个功能强大的网络工具,全称是netcat。 nc/netcat(选项)(参数) 选项: -g<网关>:设置路由器跃程通信网关,最多设置8个; -G<指向器数目>:设置来源路由指向器,其数值为4的倍数; -h:在线帮助; -i<延迟秒数>:设置间间隔,以便传送信息及扫描通信端口; -l:使用监听模式,...
linux输入nc命令后unknown,Linux nc命令_Linux 教程_服务器相关_教程_教程_JSON在线解析及格式化验证 - JSON.cn...
weixin_39790510的博客
05-05 2088
Linux nc命令用于设置路由器。执行本指令可设置路由器的相关参数。语法nc [-hlnruz][-g][-G][-i][-o][-p][-s][-v...][-w][主机名称][通信端口...]参数说明:-g 设置路由器跃程通信网关,最多可设置8个。-G 设置来源路由指向器,其数值为4的倍数。-h 在线帮助。-i 设置间间隔,以便传送信息及扫描通信端口。-l 使用监听模式...
linux命令inetd,Linux后门的两种姿势(suid shell与inetd后门)
weixin_33736210的博客
04-29 852
前提:你现在已经是root用户, 想留一个后门以便日后再一次爆菊花。系统环境:Defaultdawg:~# uname -aLinux dawg 2.4.20-1-386 #3 Sat Mar 22 12:11:40 EST 2003 i686 GNU/Linux12dawg:~# uname -aLinuxdawg2.4.20-1-386#3 Sat Mar 22 12:11:40 EST 20...
检测和缓解PowerShell攻击的方法
12306小哥
09-27 2779
声明:本文档由12306Bro个人业余间翻译,个人行为与公司无任何关系!译文来源INSIDER THREAT SECURITY BLOG博客站相关文档。如您对翻译文档内容有异议,请将原文文档为主要参考,原文版权由博客站及其相关成员持有并保留。翻译文章禁止用于任何商业用途,仅供交流与学习。 PowerShell已经发展成为针对windows系统攻击的主要方式之一,是攻击者使用本机工具攻击的一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值