Traditionelle interne Aufklärungstests verwenden in Windows integrierte Befehle wie „Net View“, „Net User“ usw., um Host- und Domäneninformationen abzurufen. Denn das blaue Team kann diese Befehle überwachen und Alarme auslösen. Verwenden Sie daher andere Methoden wie PowerShell und WMI, um eine Erkennung während der Umgebungserkundung zu vermeiden.
PowerView
PowerView ist ein PowerShell-Skript, das von Will Schroeder entwickelt wurde und Teil des PowerSploit-Frameworks und Empire ist. Das Skript verlässt sich bei der Abfrage ausschließlich auf PowerShell und WMI (Windows Management Tools). Aus einer vorhandenen Meterpreter-Sitzung kann PowerView die folgenden Befehle laden und ausführen, um Informationen über eine Domäne abzurufen:
meterpreter > laden Sie Powershell
meterpreter > sind verschiedene Cmdlets, die lokale Administratoren erkennen können.
meterpreter > powershell_execute Invoke-EnumerateLocalAdmin
Invoke-UserHunter kann dabei helfen, den Netzwerkzugriff zu erweitern, da es die Systeme identifizieren kann, bei denen der Benutzer angemeldet ist, und überprüfen kann, ob der aktuelle Benutzer lokalen Administratorzugriff auf diese Hosts hat.
PS > Invoke-UserHunter
PowerView enthält mehrere Cmdlets und kann auch Domäneninformationen abrufen.
PS > Get-NetForest
Es gibt auch Module, die eine hostbasierte Aufzählung durchführen können.
(Empire: xx) > usemodule situational_awareness/host/winenum
(Empire: powershell/situational_awareness/host/winenum) >info
Es gibt auch eine Python-Implementierung von PowerView, die in Domänen verwendet werden kann, die nicht Teil von sind Domäne, wenn Anmeldeinformationen auf dem Host ausgeführt werden.
#./pywerver.py get-netshare -w PENTESTLAB -u test -p Password123 --computername WIN-PTELU2U07KG
https://github.com/PowerShellMafia/PowerSploit
HostRecon
meterpreter > powershell_import /root/Desktop/HostRecon.ps1
meterpreter > powershell_execute Invoke-HostRecon
https://github.com/dafthack/HostRecon
HostEnum
meterpreter > powershell_import /root/Desktop/HostEnum.ps1
meterpreter > powershell_shell
PS > Invoke-HostEnum -Local -Domain Parameter -Domain führt bestimmte Domänenprüfungen durch, z Domänenbenutzer und andere Domäneninformationen.
https://github.com/threatexpress/red-team-scripts
RemoteRecon
In einem Szenario, in dem lokale Administratoranmeldeinformationen abgerufen und an mehrere Hosts weitergegeben werden, kann WMI verwendet werden, um eine Umgebungserkundung auf dem Remote-Host durchzuführen. RemoteRecon wurde von Chris Ross entwickelt und soll es roten Teams ermöglichen, Aufklärung durchzuführen, ohne Originalimplantate einzusetzen. Das Skript kann Tastenanschläge und Screenshots erfassen, Befehle und Shell-Code ausführen und PowerShell-Skripte laden, um andere Aufgaben auszuführen. Bevor Sie etwas unternehmen, müssen Sie das Skript zunächst remote auf dem Host installieren und dabei die Anmeldeinformationen eines lokalen Administrators verwenden oder nur den Computernamen, wenn der aktuelle Benutzer bereits ein lokaler Administrator auf dem Zielhost ist.
PS C:> Install-RemoteRecon -ComputerName 'WIN-2NE38K15TGH'
Die Ausgabe des über das Skript ausgeführten Befehls kann mit dem Parameter -Results abgerufen werden.
PS C:> Invoke-PowerShellCmd -ComputerName 'WIN-2NE38K15TGH' -Cmd "ps -name exp" -Verbose
PS C:> Invoke-PowerShellCmd -ComputerName 'WIN-2NE38K15TGH' -Results
Das obige ist der detaillierte Inhalt vonSo verwenden Sie das PowerView-Skript. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
