从Linux到Windows的PowerShell远程处理

在利用ntlm身份验证进行后期操作时，您可以通过以下步骤实现从linux到windows的powershell远程处理。这些步骤假设您对目标系统具有管理访问权限。

前提条件

1. 后期利用期间可以通过目标NTLM身份验证
2. 重启WinRM服务
3. 使用NTLM支持的PowerShell Docker镜像在Linux上进行PS-Remote，实现从Linux到Windows的远程PowerShell会话

背景资料

在我的测试中，发现使用PowerShell远程处理作为维护系统远程代码执行的主要方法非常有效。这是一个内置的Windows功能。不幸的是，从我的Kali Linux远程连接到目标系统并不容易，因为PowerShell Core的Linux版本支持的身份验证机制有限。

PowerShell远程处理通常需要Kerberos身份验证，这意味着客户端和目标计算机必须在同一域中。如果没有可用于连接的域内系统，这对测试人员来说可能是一个问题。幸运的是，我们可以通过将自己添加为目标系统的“TrustedHost”来使用NTLM身份验证，从而无需从域内系统进行连接。

然而，撰写本文时，适用于Linux的PowerShell Core（版本6.1.0）不支持NTLM身份验证。幸运的是，Reddit用户找到了在CentOS上使用PowerShell进行NTLM身份验证的方法。我将这些发现整合到一个简单的PowerShell Docker镜像中，即quickbreach/powershell-ntlm。

从Linux到Windows的PowerShell远程处理步骤

以下是如何从Linux客户端建立到Windows目标的远程PowerShell会话的步骤：

1. 在目标上启用PowerShell远程处理

   Enable-PSRemoting –Force

   登录后复制

2. 获取目标系统上当前TrustedHost的列表以供参考

   Get-Item WSMan:localhostClientTrustedHosts

   登录后复制

3. 将自己添加为目标上的TrustedHost

   这是使用NTLM身份验证进行Enter-PSSession设置阶段所必需的，这是从Linux连接到Windows的唯一可用的身份验证机制。您可以运行以下命令之一：

   • 使用通配符允许所有计算机在对此主机进行身份验证时使用NTLM：

     Set-Item WSMan:localhostClientTrustedHosts -Force -Value *

     登录后复制

   • 或者仅将您的IP添加到NTLM身份验证允许列表中：

     Set-Item WSMan:localhostClientTrustedHosts -Force -Concatenate -Value 192.168.10.100

     登录后复制

   

4. 设置并重新启动WinRM服务

   

   云从科技AI开放平台

   云从AI开放平台

   51

   查看详情

   Set-Service WinRM -StartMode Automatic
   Restart-Service -Force WinRM

   登录后复制

5. 启动PowerShell-NTLM Docker镜像的实例

   下面的示例命令还在Docker镜像内的/mnt路径上安装包含PowerShell脚本的目录：

   docker run -it -v /pathTo/PowerShellModules:/mnt quickbreach/powershell-ntlm

   登录后复制

6. 进入远程PowerShell会话

   现在我们可以使用以下命令进入远程PowerShell会话 - 请注意，您必须指定-Authentication类型：

   # 抓取我们将要使用的凭据
   $creds = Get-Credential
   <h1>启动会话</h1><h1>重要提示：您必须声明身份验证类型为Negotiate</h1><p>Enter-PSSession -ComputerName (Target-IP) -Authentication Negotiate -Credential $creds</p><h1>例如：</h1><p>Enter-PSSession -ComputerName 10.20.30.190 -Authentication Negotiate -Credential $creds

   登录后复制

   您也可以以类似的方式使用Invoke-Command功能：

   Invoke-Command -ComputerName 10.20.30.190 -Authentication Negotiate -Credential $creds -ScriptBlock {Get-HotFix}

   登录后复制

   

清除痕迹

如果您的命令之前存在TrustedHosts以自行添加，请更换您的IP并运行以下命令：

$newvalue = ((Get-ChildItem WSMan:localhostClientTrustedHosts).Value).Replace(",192.168.10.100","")
Set-Item WSMan:localhostClientTrustedHosts -Force -Value $newvalue

或者，如果您是唯一的TrustedHosts，则可以删除所有TrustedHosts：

Clear-Item WSMan:localhostClientTrustedHosts

最后，重新启动WinRM服务以完成更改。

以上就是从Linux到Windows的PowerShell远程处理的详细内容，更多请关注php中文网其它相关文章！