0x01 前言

?

p0wnedShell是一个用c#编写的攻击性PowerShell主机应用程序，它不依赖于PowerShell .exe，而是在PowerShell runspace环境(. net)中运行PowerShell命令和函数。它包含了许多攻击性的PowerShell模块和二进制文件，以简化后开发过程。我们所尝试的是构建一个“集所有于一身”的开发后工具，我们可以使用它来绕过所有的缓解解决方案(或者至少是一些解决方案)，其中包括所有相关的工具。您可以使用它在Active Directory环境中执行现代攻击，并在您的Blue团队中创建感知，以便他们能够构建正确的防御策略。

?

?

0x02 编译

?

?

0x03 使用

?

?

可以看到分成了信息收集、代码执行、权限提升、漏洞利用、横向渗透等模块，直接输入数字即可使用对应的功能

?

信息收集:

1. 使用PowerView获得Windows域上的网络态势感知。 

2. 使用Invoke-UserHunter和/或BloodHound来识别广告攻击路径。

3. 扫描网络中的ip地址、主机名和打开的端口。

?

?

?

Ex:比如这里对同网段下192.168.190.138进行端口扫描

?

?

?

代码执行:

4. 反射性地将Mimikatz或ReactOS加载到内存中，绕过AV/AppLocker。

Ex:比如这里选择反弹一个shell(2)

?

?

?

?

?

权限提升:

5. 使用PowerUp工具在Windows系统上帮助本地权限升级

 

6. 使用EasySystem或令牌操作获取系统shell。

 

7. 使用基于PowerShell的LLMNR/mDNS/NBNS欺骗器/中间人工具。

 

8. 利用组策略首选项设置

 

9. 使用Invoke-Kerberoast获得可破解的广告服务帐户散列。

 

10. 使用Mimikatz攻击Active Directory。

 

?

Ex:比如这里使用5，使用powerup对本地提权进行检测

?

?

可以看到和powerup效果相同，使用起来却是很方便

?

Ex:又比如使用EasySystem或令牌操作获取系统shell(6)

?

?

?

漏洞利用:

?

11. 使用各种漏洞获得系统特权。

12. 使用MS14-068 Kerberos漏洞在60秒内拥有AD。

 

?

?

Ex：比如我们选择11进行各种漏洞提权，可以看到有常见的内核漏洞，”土豆”提权、ms14_058、ms15_051等等

?

?

?

横向渗透:

?

13. 执行Metasploit反转https阶段或作为shell代码注入。

 

14. 使用WinRM、PsExec或SMB/WMI (PtH)在远程系统上执行命令。

 

15. 我们的PowerShell TCP/IP瑞士军刀。

?

?

?

Ex:比如这里选择13，生成和msf联动的反弹https的shell:

?

这里设置好了相关反弹参数，p0wnedshell也给我们列出来了msf中需要监听的模块和参数

?

设置好后，在p0wnedshell按两次回车生成反弹。

?

?

?

?

其他:

16. 执行(攻击性的)PowerShell脚本和命令。

?

17. 退出