我在最近的学习过程中,发现PowerShell的命令的历史记录有时会包含系统敏感信息,例如远程服务器的连接口令,于是我对PowerShell的的历史记录功能做了进一步研究,总结一些渗透测试中常用导出历史记录的方法,结合利用思路,给出防御建议。
本文将要介绍以下内容:
1.两种PowerShell的命令的历史记录
2.导出PowerShell的命令历史记录的方法
3.防御建议
记录PowerShell的命令的历史记录有两种方式,分别柯林斯使用Get-History状语从句:Get-PSReadlineOption读取
参考文档:https://docs.microsoft.com/en-us/powershell/module/Microsoft.PowerShell.Core/Get-History?view=powershell-3.0默认Powershell v2及以上支持能够记录当前会话中输入的命令,多个PowerShell的进程之间不共享,Powershell的进程退出后自动清除所有记录
1.常用命令
获得历史记录的完整信息:
Get-History | Format-List -Property *
包括:
ID命令行ExecutionStatusStartExecutionTimeEndExecutionTime测试如下图:
删除所有历史记录:
Clear-History
按ID号删除命令:
Clear-History -Id 3
2.利用思路
获得了一台视窗系统的权限,发现后台有PowerShell的进程,想要读取PowerShell的进程中的历史记录(1)Powershell的进程无法接收键盘输入命令例如PowerShell的加载了一个在后台运行的脚本:Powershell -ep bypass -f 1.ps1此时无法向Powershell的进程发送键盘消息,这时可以通过读取进程的命令行参数获得有用的信息,开源代码:https://github.com/3gstudent/Homework-of-C-Language/blob/master/GetProcessCommandLine.cpp代码实现了读取指定进程的命令行参数,通常能够获得有用的信息(2)Powershell的进程能够接收键盘输入命令这里可以模拟发送键盘消息,导出历史记录程序实现思路:
通过遍历枚举所有窗口
通过GetWindowThreadProcessId从窗口(HWND)获得PID
比较PID,找到符合条件的窗口
向符合条件的窗口发送键盘消息(PostMessage的)
程序细节:1.虚拟密钥代码每一个键盘输入消息对应一个虚拟密钥代码参考资料:https://docs.microsoft.com/en-us/windows/desktop/inputdev/virtual-key-codes需要模拟键盘按下和键盘抬起两个操作,开源的测试代码:https://github.com/3gstudent/Homework-of-C-Language/blob/master/SendKeyboardMessageToPowershell.cpp代码实现了搜索指定PID的进程,向进程发送键盘消息,内容为:whoami2.导出历史记录命令如下:
Get-History|export-csv $env:temp"\history.csv"
其中需要考虑字符”|”,”$”和”"”,模拟键盘输入时需要加Shift键
的这里实现方法的英文先使用keybd_event按下Shift键,再用PostMessage发送按键的字母,最后抬起两个按键
开源的测试代码:
https://github.com/3gstudent/Homework-of-C-Language/blob/master/SendKeyboardMessageToPowershell(Get-History).cpp.cpp)
代码实现了搜索指定PID的进程,向进程发送键盘消息,内容为:Get-History|export-csv $env:temp”\history.csv”
3.补充:查看cmd.exe的历史记录
命令如下:
doskey /h
清空:
doskey /reinstall
也可以通过发送键盘消息的方式导出的cmd.exe的命令历史记录
参考文档:https://docs.microsoft.com/en-us/powershell/module/psreadline/?view=powershell-5.1默认Powershell v5支持Powershell v3和Powershell v4需要安装Get-PSReadlineOption后才可以使用安装后,所有Powershell的命令的历史记录会保存在同一位置,可随时查看
1. Powershell v3和Powershell v4的安装和使用
这里以64位系统为例,安装方法如下:
(1)安装PowerShellGet
下载:https://www.microsoft.com/en-us/download/details.aspx?id=51451
注:安装前需要关闭的PowerShell进程可以通过命令行实现隐蔽安装,命令如下:
msiexec /q /i PackageManagement_x64.msi
安装成功后,在控制面板的已安装程序列表(控制面板\程序\程序和功能)有显示:Package Management Preview – x64
Package Management Preview – x64的注册表路径为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{57E5A8BB-41EB-4F09-B332-B535C5954A28}
只需要删除这个注册表项及子项即可实现在已安装程序列表中隐藏
删除注册表项的CMD命令:
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{57E5A8BB-41EB-4F09-B332-B535C5954A28} /f
(2)安装PSReadLine
通过安装-模块命令安装:
Install-Module -Name PSReadLine
弹出提示:
NuGet provider is required to continue PowerShellGet requires NuGet provider version '2.8.5.201' or newer to interact with NuGet-based repositories. The NuGet provider must be available in 'C:\Program Files\PackageManagement\ProviderAssemblies' or 'C:\Users\Administrator\AppData\Local\PackageManagement\ProviderAssemblies'. You can also install the NuGet provider by running 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force'. Do you want PowerShellGet toinstall and import the NuGet provider now? [Y] Yes [N] No [S] Suspend [?] Help (default is "Y"):
再次需要输入侧Y进行安装
如果需要实现一键安装,可以先安装的NuGet,再安装PSReadLine,完整命令如下:
Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -ForceSet-PSRepository -Name PSGallery -InstallationPolicy TrustedInstall-Module -Name PSReadLine
(3)使用
所有的PowerShell命令将会保存在固定位置:%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
查看命令的历史记录:
Get-Content (Get-PSReadlineOption).HistorySavePath
清除命令的历史记录:
Remove-Item (Get-PSReadlineOption).HistorySavePath
2.利用思路
获得了视窗系统的访问权限,首先查看Powershell的版本,如果是第5版,通过柯林斯读取文件%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt获得历史记录如果系统是Powershell v3或Powershell v4,可通过命令行安装PSReadLine,这样就能记录后续系统所有的Powershell命令
如果使用高版本的视窗系统,如Win10,默认PowerShell的版本为5.0,会记录PowerShell的的命令,建议定时进行清除,位置:%appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
清除命令的历史记录:
Remove-Item (Get-PSReadlineOption).HistorySavePath
对于低版本的Powershell的,如果命令中包含敏感信息(如远程连接的口令),需要及时清除,命令为:Clear-History
对于cmd.exe的,如果命令中包含敏感信息(如远程连接的口令),需要及时清除,命令为:doskey /reinstall
ps:本文介绍了两种PowerShell的命令的历史记录,总结常用导出历史记录的方法,结合利用思路,给出防御建议。
*本文作者:线性代数lzh,转载来自FreeBuf
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
Track-聂风 | 0.01 | 0 | 2020-07-25 11:11:59 | 一个受益终生的帖子~~ |
Track-聂风 | 0.01 | 0 | 2020-07-25 11:11:51 | 一个受益终生的帖子~~ |
Track-聂风 | 0.01 | 0 | 2020-07-25 11:11:38 | 一个受益终生的帖子~~ |
Track-聂风 | 0.01 | 0 | 2020-07-25 11:11:39 | 一个受益终生的帖子~~ |
Track-聂风 | 0.01 | 0 | 2020-07-25 11:11:28 | 一个受益终生的帖子~~ |
Track-聂风 | 0.01 | 0 | 2020-07-25 11:11:13 | 一个受益终生的帖子~~ |
Track-聂风 | 0.01 | 0 | 2020-07-25 11:11:54 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.