默認情況下,PowerShell禁止PowerShell腳本在Windows系統中執行。這會妨礙滲透測試員,系統管理員,和開發人員……在這裏我將在沒有系統管理員權限的情況下通過15個方法來繞過PowerShell execution policy。
我肯定還有很多的技術漏了(或者我根本不知道),但希望這篇文章將給需要它的人提供壹個良好的開端。
** 什麽是PowerShell Execution Policy?**
PowerShell execution policy 是用來決定哪些類型的PowerShell腳本可以在系統中運行。默認情況下,它是“ Restricted ”(限制)的。然而,這個設置從來沒有算是壹種安全控制。相反,它會阻礙管理員操作。這就是為什麽我們有這麽多繞過它的方法。包括壹些微軟提供的。更多關於在PowerShell執行政策設置,默認的安全控制的設置。我建議閱讀Carlos Perez的 博客 。他提供了壹個很好的概述。
** 為什麽要繞過執行政策**
我聽到的最多的原因是因為人們希望實現自動化操作,但下面還有壹些其他原因致使PowerShell在管理員、滲透測試員、黑客們手中如此流行:
如何查看Execution Policy
在能夠使用所有完美功能的PowerShell之前,攻擊者可以繞過“Restricted”(限制)execution policy。妳可以通過PowerShell命令“executionpolicy“看看當前的配置。如果妳第壹次看它的設置可能設置為“Restricted”(限制),如下圖所示
同樣值得註意的是execution policy可以在系統中設置不同的級別。要查看他們使用下面的命令列表。更多信息可以點擊這裏查看微軟的“Set-ExecutionPolicy” 。
當我試圖在壹個帶有默認execution policy的系統上執行它時,我得到以下錯誤:
繞過PowerShell Execution Policy
1. 把腳本直接粘貼到交互式的PowerShell控制臺
復制並粘貼妳的PowerShell腳本為壹個交互式控制臺如下圖所示。但是,請記住,妳將被當前用戶權限限制。這是最基本的例子,當妳有壹個交互控制臺時,可以方便快速地運行腳本。此外,這種技術不會更改配置或需要寫入磁盤。
6. 使用EncodeCommand
這和使用"Command"命令非常像,但它為所有的腳本提供了壹個Unicode / Base64編碼串。通過這種方式加密妳的腳本可以幫妳繞過所有通過"Command"執行時會遇到的錯誤。這種技術不會導致配置文件的更改或要求寫入磁盤。下面的示例來自 Posh-SecMod。
例1: 完整的命令
7. 使用Invoke-Command命令
我在obscuresec的博客看到了這種有趣的方法。這是壹個典型的通過交互式PowerShell控制臺執行的方法。但最酷的是當PowerShell遠程處理開啟時我可以用它來對遠程系統執行命令。這種技術不會導致配置更改或要求寫入磁盤。
8. 使用Invoke-Expression命令
這是另壹個典型的通過交互式PowerShell控制臺執行的方法。這種技術不會導致配置更改或要求寫入磁盤。下面我列舉了壹些常用的方法來通過Invoke-Expression繞過execution policy。
例1:使用Get-Content的完整命令
9.使用"Bypass"標記Execution Policy
當妳通過腳本文件執行命令的時候這是壹個很好的繞過execution policy的方法。當妳使用這個標記的時候"沒有任何東西被阻止,沒有任何警告或提示"。這種技術不會導致配置更改或要求寫入磁盤。
12. 通過交換AuthorizationManager禁用ExecutionPolicy
這真是壹個我碰到的來自 http://www.nivot.org 的創意。下面的函數可以通過壹個交互式的PowerShell來執行。壹旦函數被調用"AuthorizationManager"就會被替換成空。最終結果是,接下來的會話基本上不受execution policy的限制。然而,它的變化將被應用於會話的持續時間。
總結
我覺得這裏的主題是:使用的execution policy不壹定是開發商,管理員,或者。微軟從來沒有打算將它成為壹個安全控制。這就是為什麽有這麽多選擇繞過它。微軟很好地提供了壹些本地選項和安全社區也拿出壹些真正有趣的把戲。感謝所有通過博客和演講做出貢獻的人。