PowerShell是Microsoft開發的一種腳本語言。它提供了對Windows平臺幾乎所有內容的API訪問，不容易被檢測到，易于學習，因此對于滲透測試的后期開發過程中或payload執行的exploit開發來說非常強大。以Metasploit的[windows/smb/psexec_psh.rb](https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/smb/psexec_psh.rb) 模塊為例子.它模仿SysInternals中的psexec工具，有效載荷被壓縮并從命令行執行，這使得它對防病毒有些隱蔽.psexec_psh.rb中只有不到30行代碼（不包括描述模塊的元數據），因為大部分工作都是由Powershell mixin完成的，沒有比這更容易的了。 命令行將自動嘗試檢測正在運行的體系結構（x86或x86_64）以及它所包含的有效負載體系結構。如果存在不匹配的情況，則會生成正確的PowerShell體系結構以將有效載荷注入到內存中，因此無需擔心目標系統的體系結構。 ### 要求 要使用PowerShell mixin，請確保您符合以下要求 * 目標機器支持PowerShell。Vista或更新版本應該支持它。 * 您必須擁有執行powershell.exe的權限 * 您必須能夠提供系統命令參數。 * 您必須設置命令執行類型為了執行powershell.exe攻擊 ### 示例 * 添加Powershell到你的模塊,首先你需要require 它 ```ruby require 'msf/core/exploit/powershell' ``` * 然后把這個mixin包含在這個Metasploit3類的范圍內（或者對于一些是Metasploit4） ```ruby include Msf::Exploit::Powershell ``` * 使用該`cmd_psh_payload`方法生成PowerShell payload。 ```ruby cmd_psh_payload(payload.encoded, payload_instance.arch.first) ``` ```cmd_psh_payload```實際輸出是一個系統命令.它看起來像下面的格式(作為一行） ``` %COMSPEC% /B /C start powershell.exe -Command $si = New-Object System.Diagnostics.ProcessStartInfo;$si.FileName = 'powershell.exe'; $si.Arguments = ' -EncodedCommand [BASE64 PAYLOAD] '; $si.UseShellExecute = $false; $si.RedirectStandardOutput = $true;$si.WindowStyle = 'Hidden'; $si.CreateNoWindow = $True; $p = [System.Diagnostics.Process]::Start($si); ``` 根據漏洞的情況，可以使用多種選項來調整最終的命令。默認情況下腳本是壓縮的，但是沒有編碼發生在。這產生了一個約2000字符的小命令（取決于有效載荷）。 其中最值得一提的是`encode_final_payload` 將完整的負載Base64編碼成一個非常簡單的命令，并且很少有壞字符。但是，命令長度會因此而增加。結合`remove_comspec`意味著有效載荷將是非常簡單的 `powershell.exe -nop -ep bypass -e AAAABBBBCCCCDDDD.....==` 在下面的api文檔確認更多的高級選項 ### References https://dev.metasploit.com/api/Msf/Exploit/Powershell.html https://github.com/rapid7/metasploit-framework/blob/master/lib/msf/core/exploit/powershell.rb https://github.com/rapid7/metasploit-framework/blob/master/data/exploits/powershell/powerdump.ps1