PowerShell Remoting Cheatsheet Secer's Blog - 记录互联网安全历程与个人成长经历

我现在已经是PowerShell的一个大粉丝了。我发现自己经常在渗透测试和正常任务管理里面使用到它。这篇文章中，我分享给大家一篇基础的（PowerShell远程处理作弊条）PowerShell Remoting cheatsheet，这样你们也可以使用到它了。

PowerShell远程处理介绍

PowerShell远程处理本质上是一种原生的Windows远程命令执行的功能，是建立在Windows远程管理（远程管理）协议基础上的。基于我谷歌到的结果，WinRM 是通过Windows Vista Service Pack 1或更高版本，Windows 7，Windows Server 2008，Windows Server 2012的支持。

使用PowerShell远程处理

在我们开始之前，让我们确保PowerShell远程处理在您的系统上安装妥当了。

管理员权限启动PowerShell控制台，启用PowerShell远程处理。
```
Enable-PSRemoting –force
```
这句应该就够了，如果你遇到了问题，可以使用下面的命令。

确保WinRM服务被设置成自启动。

# Set start mode to automatic
Set-Service WinRM -StartMode Automatic
 
# Verify start mode and state - it should be running
Get-WmiObject -Class win32_service | Where-Object {$_.name -like "WinRM"}

设置所有远程主机到可信。(Note: 你可能后续会取消这个）

# Trust all hosts
Set-Item WSMan:localhost\client\trustedhosts -value *
 
# Verify trusted hosts configuration
Get-Item WSMan:\localhost\Client\TrustedHosts

用PowerShell Remoting执行远程命令

现在我们可以小玩一把了。这里有篇博文可以小览一下PowerShell Remoting ：

http://blogs.technet.com/b/heyscriptingguy/archive/2009/10/29/hey-scripting-guy-october-29-2009.aspx.

这绝对是在我推荐的阅读清单上，但我会在这方面上展开一个小例子。

在远程系统上执行单一命令

Invoke-Command –ComputerName MyServer1 -ScriptBlock {Hostname}
Invoke-Command –ComputerName MyServer1 -Credentials demo\serveradmin -ScriptBlock {Hostname}

Get-ADComputer -Filter *  -properties name | select @{Name="computername";Expression={$_."name"}} | Invoke-Command -ScriptBlock {hostname}

有时候使用存储在本地的脚本似乎更好。如下面几个例子所示：

Invoke-Command -ComputerName MyServer1 -FilePath C:\pentest\Invoke-Mimikatz.ps1
Invoke-Command -ComputerName MyServer1 -FilePath C:\pentest\Invoke-Mimikatz.ps1 -Credentials demo\serveradmin

Also, if your dynamically generating commands or functions being passed to remote systems you can use invoke-expression through invoke-command as shown below.

$MyCommand = "hostname"
$MyFunction = "function evil {write-host `"Getting evil...`";iex -command $MyCommand};evil"
invoke-command -ComputerName MyServer1 -Credentials demo\serveradmin -ScriptBlock {Invoke-Expression -Command  "$args"} -ArgumentList $MyFunction

在远程系统上建立交互PowerShell控制台
通过使用"Enter-PsSession"命令，可以在远程系统上建立交互的PowerShell控制台。它感觉就像是SSH。跟"Invoke-Command"命令类似, "Enter-PsSession"也可以作为当前用户或者非域内其他用户权限来执行。下面是例子：
```
Enter-PsSession –ComputerName server1.domain.com
Enter-PsSession –ComputerName server1.domain.com –Credentials domain\serveradmin
```
如果你想退出交互界面的 PowerShell session，你可以使用 "Exit-PsSession" 命令。
```
Exit-PsSession
```

创建后台会话
PowerShell 远程处理另一个很酷的地方是允许用户使用"New-PsSession" 命令创建后台会话。如果你想在多个系统中执行多个命令，后台会话就可以派上用场了。

跟其他命令类似，"New-PsSession"也可以作为当前用户或者非域内其他用户权限来执行。例如：
```
New-PSSession -ComputerName server1.domain.com
New-PSSession –ComputerName server1.domain.com –Credentials domain\serveradmin
```
如果活动目录的PowerShell 模块已经安装好了，可以一次在多个系统上创建后台会话。下面是个例子，介绍了如果给域内所有系统创建后台会话。这个例子展示了如何使用非域内系统权限。
```
New-PSDrive -PSProvider ActiveDirectory -Name RemoteADS -Root "" -Server a.b.c.d -credential domain\user
cd RemoteADS:
Get-ADComputer -Filter * -Properties name  | select @{Name="ComputerName";Expression={$_."name"}} | New-PSSession
```
列举后台会话
使用 "Get-PsSession"命令可以列举查看当前的一些会话。
```
Get-PSSession
```
与后台会话的交互
第一次使用这个特性，我感觉我自己是在使用Metasploi的sessions，但是这些sessions似乎更稳定一点。下面示范如果使用session id来与活动会话进行交互。
```
Enter-PsSession –id 3
```
退出session会话，使用"Exit-PsSession"命令。这将使得session 会话又进入了后台。
```
Exit-PsSession
```

通过后台会话执行命令
如果你的目标是在多个活动session会话上面执行命令，那么可以一起使用 "Invoke-Command" and "Get-PsSession"命令。
```
Invoke-Command -Session (Get-PSSession) -ScriptBlock {Hostname}
```
移除后台会话
最后，移除所有活动sessins，可以使用 "Disconnect-PsSession"命令。
```
Get-PSSession | Disconnect-PSSession
```

Wrap Up

自然，PowerShell 远程管理为管理员和渗透测试者都提供了很多选择。不管你的使用情况，我认为它归结为:

如果在单一系统上执行命令，使用"Invoke-Command"。
如果你想跟单一系统交互，使用 "Enter-PSSession"。
如果在多系统执行多命令，使用PowerShell会话。

希望这份cheatsheet 作弊条能对你们有用。玩的开心，负责任的Hack。

关于PowerShell，安全脉搏上已经有很多文章介绍了，http://www.secpulse.com/?s=powershell。

参考：

【原文：PowerShell Remoting Cheatsheet 翻译：安全脉搏SP小编转载请注明来自安全脉搏分享技术悦享品质】