【详解】PowerShell工具之Powerup详解

PowerShell工具之Powerup详解

引言

在渗透测试和安全研究领域，PowerShell 作为一种强大的脚本语言，被广泛用于各种自动化任务。​​PowerUp​​ 是一个专门为渗透测试设计的 PowerShell 脚本，旨在帮助测试人员快速发现 Windows 系统中的潜在漏洞。本文将详细介绍 ​​PowerUp​​ 的功能、使用方法以及一些实际应用场景。

什么是 PowerUp？

​​PowerUp​​ 是由 ​​@harmj0y​​ 开发的一个 PowerShell 脚本，它通过执行一系列的检查来发现目标系统中可能存在的权限提升机会。这些检查包括但不限于：

• 权限配置错误
• 文件权限问题
• 服务配置不当
• 注册表设置不当
• 安全补丁缺失
• 其他常见的安全漏洞

安装与配置

安装 Empire 框架

​​PowerUp​​ 是 Empire 框架的一部分，因此首先需要安装 Empire 框架。Empire 是一个基于 PowerShell 的后渗透测试框架，提供了丰富的模块和功能。

1. 克隆 Empire 仓库：

git clone https://github.com/BC-SECURITY/Empire.git

1. 安装依赖：

cd Empire
sudo pip3 install -r requirements.txt

1. 启动 Empire：

./empire

1. 加载 PowerUp 模块： 在 Empire 控制台中，可以使用以下命令加载 PowerUp 模块：

usemodule situational_awareness/host/powerup

直接使用 PowerUp 脚本

如果你不想使用 Empire 框架，也可以直接下载 ​​PowerUp​​ 脚本并单独运行。

1. 下载 PowerUp 脚本：

wget https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Privesc/PowerUp.ps1

1. 运行 PowerUp 脚本： 在 PowerShell 中，可以使用以下命令加载并运行 PowerUp 脚本：

Import-Module .\PowerUp.ps1
Invoke-AllChecks

功能详解

常见检查项

​​PowerUp​​ 提供了多种检查项，每种检查项都针对特定的安全问题。以下是一些常见的检查项：

• 文件权限检查：

Invoke-FilePermissionAudit

这个函数会检查系统上的关键文件和目录的权限设置，找出可写入的文件和目录。

• 服务配置检查：

Invoke-ServiceAudit

这个函数会检查系统上运行的服务，找出可能被利用的服务配置。

• 注册表设置检查：

Invoke-RegistryAudit

这个函数会检查注册表中的关键设置，找出可能被利用的注册表项。

• 安全补丁检查：

Invoke-HotfixAudit

这个函数会检查系统上安装的安全补丁，找出缺失的重要补丁。

实际应用

权限提升

在渗透测试过程中，​​PowerUp​​ 可以帮助测试人员快速发现系统中的权限提升机会。例如，如果某个服务的配置文件具有可写权限，攻击者可以通过修改该配置文件来获取更高的权限。

漏洞评估

在进行漏洞评估时，​​PowerUp​​​ 可以作为一个有效的工具来评估系统的安全性。通过运行 ​​PowerUp​​，安全团队可以发现系统中存在的潜在漏洞，并及时采取措施进行修复。

​​PowerUp​​​ 是一个强大且灵活的 PowerShell 工具，适用于各种渗透测试和安全评估场景。通过使用 ​​PowerUp​​​，测试人员可以快速发现系统中的潜在漏洞，提高测试效率。希望本文能帮助你更好地理解和使用 ​​PowerUp​​，从而提升你的渗透测试技能。

PowerUp 是一个 PowerShell 脚本，主要用于渗透测试中的权限提升（Privilege Escalation）。它可以帮助安全研究人员和红队成员识别并利用系统中的各种漏洞来获取更高的权限。

PowerUp 简介

PowerUp 是由 Matt Nelson (@enigma0x3) 开发的一个 PowerShell 脚本，用于自动化权限提升的检查过程。它可以通过以下几种方式帮助你：

1. 查找弱权限配置：例如，可写的服务路径、可执行的计划任务等。
2. 利用已知漏洞：例如，DLL 劫持、UNC 路径注入等。
3. 检测权限提升向量：例如，未受保护的注册表键、可写的服务二进制文件等。

安装 PowerUp

首先，你需要安装 PowerUp。你可以通过以下命令从 GitHub 下载并加载 PowerUp 脚本：

# 下载 PowerUp 脚本
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Privesc/PowerUp.ps1" -OutFile "PowerUp.ps1"

# 加载脚本
Import-Module .\PowerUp.ps1

示例代码

1. 检查所有权限提升向量

使用 ​​Invoke-AllChecks​​ 函数可以一次性检查所有可能的权限提升向量：

Invoke-AllChecks

2. 检查可写的服务路径

服务路径中如果包含空格且没有引号包裹，攻击者可以利用这一点来插入恶意代码。使用 ​​Find-ServiceFilePerms​​ 函数可以检查这些服务：

Find-ServiceFilePerms

3. 检查可执行的计划任务

计划任务中如果存在可写的配置文件，攻击者可以修改这些文件以执行恶意代码。使用 ​​Find-WriteableScheduledTasks​​ 函数可以检查这些任务：

Find-WriteableScheduledTasks

4. 检查未受保护的注册表键

注册表中的一些键如果权限设置不当，攻击者可以修改这些键来实现权限提升。使用 ​​Find-UnquotedServicePath​​ 函数可以检查这些注册表键：

Find-UnquotedServicePath

5. 利用 DLL 劫持

如果某个应用程序加载了未指定路径的 DLL，攻击者可以将恶意 DLL 放在应用程序的搜索路径中。使用 ​​Find-DLLHijack​​ 函数可以检查这些潜在的 DLL 劫持点：

Find-DLLHijack

实际应用场景

假设你在进行一次内部渗透测试，已经获得了目标系统的普通用户权限。你怀疑系统中可能存在一些配置不当的服务或计划任务，可以用来提升权限。你可以按照以下步骤进行操作：

1. 下载并加载 PowerUp 脚本：

Invoke-WebRequest -Uri "https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Privesc/PowerUp.ps1" -OutFile "PowerUp.ps1"
Import-Module .\PowerUp.ps1

1. 运行全面检查：

Invoke-AllChecks

1. 分析结果：
   根据 ​​​Invoke-AllChecks​​ 的输出，你可能会发现一些潜在的权限提升向量。例如，如果你发现了一个可写的服务路径，可以进一步尝试利用这个漏洞来提升权限。
2. 利用特定向量：
   假设你发现了一个可写的服务路径，可以尝试修改服务路径来执行恶意代码。例如，创建一个恶意的可执行文件并修改服务路径：

# 创建恶意可执行文件
New-Item -Path "C:\Temp\malicious.exe" -ItemType File -Value "echo 'Malicious code executed' > C:\Temp\log.txt"

# 修改服务路径
Set-Service -Name "VulnerableService" -BinaryPathName "C:\Temp\malicious.exe"

重启服务后，恶意代码将会被执行。

注意事项

• 合法性：确保你有合法的权限和授权来进行这些操作。未经授权的渗透测试是非法的。
• 安全性：在实际环境中使用这些技术时，要非常小心，避免对系统造成不必要的损害。
• 日志记录：操作过程中可能会生成大量的日志，确保你能够清理这些日志以避免留下痕迹。

希望这些示例代码和应用场景对你有所帮助！如果你有任何其他问题或需要进一步的帮助，请随时告诉我。PowerUp 是一个 PowerShell 脚本，主要被用于渗透测试中以识别和利用 Windows 系统中的权限提升漏洞。它是 Empire 项目的一部分，由 @harmj0y 和其他贡献者开发。PowerUp 的设计目的是帮助安全研究人员和渗透测试人员快速找到可能的权限提升途径，从而评估系统的安全性。

PowerUp 的功能

1. 权限提升向量检测：PowerUp 可以检测多种权限提升（Privilege Escalation）向量，包括但不限于：

• 权限过高的服务
• 权限过高的计划任务
• 弱配置的注册表键
• 未受保护的文件和文件夹
• 漏洞利用（如 CVE-2019-0708）
• 权限过高的 COM 对象
• 未正确配置的安全策略等

1. 自动化报告：检测完成后，PowerUp 可以生成详细的报告，列出所有发现的潜在问题和建议的利用方法。

使用方法

要使用 PowerUp，首先需要安装 PowerShell 并确保有足够的权限运行脚本。以下是基本的使用步骤：

1. 下载 PowerUp：

Invoke-WebRequest -Uri "https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Privesc/PowerUp.ps1" -OutFile "PowerUp.ps1"

1. 加载脚本：

. .\PowerUp.ps1

1. 运行检测：

Invoke-AllChecks

代码详解

PowerUp 的核心在于 ​​Invoke-AllChecks​​ 函数，该函数调用了一系列子函数来检查不同的权限提升向量。以下是一些关键函数的简要说明：

1. Invoke-ServiceAbuse：

• 检查服务是否可以被修改或利用。
• 例如，检查服务的启动配置、服务二进制路径等。

1. Invoke-RegistryPermissionAudit：

• 检查注册表键的权限，寻找可写入的注册表项。
• 这些注册表项可能被用于修改系统配置或植入恶意代码。

1. Invoke-ProcessStartMethodHijack：

• 检查进程启动方法是否存在可以被利用的漏洞。
• 例如，检查 DLL 注入点或其他可被篡改的启动参数。

1. Invoke-EventLogAbuse：

• 检查事件日志配置，寻找可以被篡改或删除的日志。
• 这有助于掩盖攻击痕迹。

1. Invoke-TokenManipulation：

• 检查当前用户是否可以通过令牌操作提升权限。
• 例如，尝试获取更高权限的访问令牌。

1. Invoke-WeakServicePermission：

• 检查服务权限，寻找权限过高的服务。
• 例如，检查服务的启动账户是否为高权限账户。

1. Invoke-UserPolicyCheck：

• 检查用户的策略配置，寻找可以被利用的弱策略。
• 例如，检查密码策略、锁定策略等。

示例输出

运行 ​​Invoke-AllChecks​​ 后，你可能会看到类似以下的输出：

[*] Checking for writable service files...
[*] Checking for unquoted service paths...
[*] Checking for services with weak file permissions...
[*] Checking for services that can be started and stopped by the current user...
[*] Checking for services that can be modified by the current user...
[*] Checking for writable registry keys...
[*] Checking for writable event log sources...
[*] Checking for token manipulation opportunities...
[*] Checking for weak user policies...

每个检查都会输出具体的发现，包括潜在的漏洞和如何利用这些漏洞的建议。

注意事项

• 合法使用：PowerUp 应仅在授权的渗透测试环境中使用，未经授权的使用可能违反法律。
• 系统影响：某些检查可能会对系统性能产生影响，因此在生产环境中使用时应谨慎。

通过 PowerUp，安全研究人员和渗透测试人员可以更高效地识别和利用权限提升漏洞，从而提高系统的安全性。