Fonctionnement<\/h3>\n\n\n\n
Le c\u0153ur de PowerShell est bas\u00e9 sur la Par exemple prenons la cmdlet Attention cependant, il est impossible d\u2019utiliser les m\u00eames arguments (exemple: Le fonctionnement d\u2019une cmdlet repose sur 3 diff\u00e9rentes parties, PowerShell est un langage orient\u00e9 objet, dont les types sont les m\u00eames que ceux en .NET. Il y a donc une tr\u00e8s forte interaction entre le Framework .NET et PowerShell, ce qui permet plusieurs choses:<\/p>\n\n\n\n L\u2019ex\u00e9cution de commande ou de script dans PowerShell passe par la cr\u00e9ation d\u2019objets d\u00e9j\u00e0 mentionn\u00e9s, les “scriptblock”, ils sont constitu\u00e9s d\u2019accolades de part et d\u2019autres et peuvent contenir n\u2019importe quel code PowerShell. Ces derniers sont invoqu\u00e9s avec la m\u00e9thode Une fois la commande ou le script ex\u00e9cut\u00e9s, toute donn\u00e9e ou trace de son passage est oubli\u00e9e, pour palier \u00e0 cela, il existe les Comme vous pouvez le constater, le code C# ressemble un peu au deuxi\u00e8me exemple d’ex\u00e9cution de “scriptblock” avec PowerShell.<\/p>\n\n\n\n Au vue de l\u2019\u00e9volution des m\u00e9thodologies d\u2019attaques sur PowerShell, beaucoup de s\u00e9curit\u00e9 a progressivement \u00e9t\u00e9 mise en place autour de notre ami. On note par exemple depuis PowerShell v3 l\u2019impl\u00e9mentation du En combinant ces cmdlets et des “pipelines” il est possible de faire des choses tr\u00e8s complexes avec une seule ligne.<\/p>\n\n\n\n Plusieurs astuces et ont \u00e9t\u00e9 mises \u00e0 disposition pour faciliter la vie des programmeurs. Les commentaires par exemple sont cr\u00e9\u00e9s pour une ligne avec Si l\u2019article vous a plu je vous invite \u00e0 aller regarder la s\u00e9rie sur la programmation avec PowerShell.<\/p>\n","protected":false},"excerpt":{"rendered":" PowerShell est un langage tr\u00e8s puissant, qu\u2019il s\u2019agisse de Red Team ou bien d\u2019administration. PowerShell est un incontournable de la s\u00e9curit\u00e9 et m\u00eame de l\u2019univers Microsoft Windows. Historique PowerShell a \u00e9t\u00e9 initialement publi\u00e9 en Novembre 2006, il \u00e9tait alors qu\u2019\u00e0 ses d\u00e9buts, tr\u00e8s peu de fonctionnalit\u00e9 pour cette premi\u00e8re version mais qui a n\u00e9anmoins pos\u00e9e […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3],"tags":[],"_links":{"self":[{"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/posts\/96"}],"collection":[{"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/comments?post=96"}],"version-history":[{"count":10,"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/posts\/96\/revisions"}],"predecessor-version":[{"id":285,"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/posts\/96\/revisions\/285"}],"wp:attachment":[{"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/media?parent=96"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/categories?post=96"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/theredwindows.net\/index.php\/wp-json\/wp\/v2\/tags?post=96"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}dll<\/code> System.Management.Automation<\/code>. Cette derni\u00e8re d\u00e9finit la tr\u00e8s grande majorit\u00e9 du fonctionnement des commandes. En PowerShell une commande est appel\u00e9e cmdlet et est la contraction de commandlet (en fran\u00e7ais, applet de commande). Ces derni\u00e8res sont enti\u00e8rement programm\u00e9es en C#, et tous les outils n\u00e9cessaires pour en programmer sont situ\u00e9s dans la m\u00eame dll<\/code>. Elles poss\u00e8dent une structure syntaxique en 2 parties (sans compter les \u00e9ventuelles arguments), le verbe: qui d\u00e9termine le type d\u2019action \u00e0 mener (usuellement ils sont class\u00e9s par cat\u00e9gories: Security<\/code>, Data<\/code>, Common<\/code>, Lifecycle<\/code>, Communications<\/code>, Diagnostic<\/code>, Other<\/code>), et le nom qui indique ce sur quoi l\u2019action sera men\u00e9e. Pour avoir une liste des verbes disponibles, une cmdlet y est toute destin\u00e9e Get-Verb<\/code><\/code>. <\/p>\n\n\n\n![\"\"](\"http:\/\/theredwindows.net\/wp-content\/uploads\/2020\/10\/Verb.png\")
<\/figure>\n\n\n\nGet-Process<\/code><\/code>, il facile de comprendre que le r\u00e9sultat de la commande sera une liste des processus qui sont actuellement en cours d’ex\u00e9cution. Bien que le syst\u00e8me de “commandlet” peut s’av\u00e9rer pratique pour les retenir, pour certaines, il existe des alias qui permettent d\u2019une part de plus facilement les m\u00e9moriser, mais aussi de pouvoir plus ais\u00e9ment transitionner d\u2019un environnement “bash\/zsh\/sh” vers PowerShell. Pour obtenir la liste d\u2019alias disponible, Get-Alias<\/code><\/code> est la commande \u00e0 utiliser. Il y est possible de retrouver ls<\/code>, cd<\/code>, pwd<\/code> et bien d\u2019autres qui vous seront assur\u00e9ment famili\u00e8res. <\/p>\n\n\n\n![\"\"](\"http:\/\/theredwindows.net\/wp-content\/uploads\/2020\/10\/Alias-1024x791.png\")
<\/figure>\n\n\n\nls -ail<\/code> en PowerShell sera ls -force<\/code><\/code>). <\/p>\n\n\n\n![\"\"](\"http:\/\/theredwindows.net\/wp-content\/uploads\/2020\/10\/ArgsLinuxPwsh.png\")
<\/figure>\n\n\n\nBeginProcessing<\/code> (th\u00e9oriquement cette m\u00e9thode permet d\u2019initialiser les diff\u00e9rents objets dont la fonction\/cmdlet peut avoir besoin), ProcessRecord <\/code>(Il s\u2019agit du c\u0153ur des instructions de la cmdlet), EndProcessing<\/code> (th\u00e9oriquement cette partie sert \u00e0 retourner, ou nettoyer apr\u00e8s l\u2019ex\u00e9cution d\u2019une cmdlet), certaines cmdlets permettent une d\u00e9finition similaire de bloc de contr\u00f4le, c\u2019est le cas de ForEach-Object<\/code><\/code> avec les arguments -Begin<\/code>, -Process<\/code> et -End<\/code> (ces derniers doivent \u00eatre suivis de “scriptblock”), enfin lors de la cr\u00e9ation de fonction avanc\u00e9e (fonction qui simule un comportement d’une cmdlet), ces blocs apparaissent sous la forme suivante: BEGIN{}<\/code><\/code>, PROCESS{}<\/code><\/code>, END{}<\/code><\/code>. Contrairement aux environnements “Linux\/OpenBSD” et le “CMD”, la “pipe” de PowerShell a un comportement quelque peu diff\u00e9rent. En effet, elle ne passe pas une cha\u00eene de caract\u00e8re repr\u00e9sentative de la sortie de la commande. Ici elle passera l’objet entier ainsi que les donn\u00e9es qui y sont associ\u00e9es: Get-Process | % {$_.GetType()<\/code><\/code>}. Le r\u00e9sultat de Get-Process<\/code><\/code> est envoy\u00e9 au travers d\u2019une pipe, puis utilis\u00e9 dans ForEach-Object<\/code> (qui est une boucle foreach<\/code> qui attend une entr\u00e9e par une pipe<\/code>), une variable est cr\u00e9\u00e9e automatiquement \u00e0 cette occasion $_<\/code>, enfin la m\u00e9thode .GetType()<\/code> permet de donner le type.<\/p>\n\n\n\n![\"\"](\"http:\/\/theredwindows.net\/wp-content\/uploads\/2020\/10\/PipeLine.png\")
<\/figure>\n\n\n\n![\"\"](\"http:\/\/theredwindows.net\/wp-content\/uploads\/2020\/10\/WithoutPipe.png\")
<\/figure>\n\n\n\nnamespace<\/code> les plus communs (par extension charg\u00e9 n\u2019importe quel “bytecode” C#, gr\u00e2ce \u00e0 l\u2019espace de nom System.Reflection<\/code>).<\/li>Add-Type<\/code><\/code>, pour les utilisations les plus commune.<\/li><\/ul>\n\n\n\n.Invoke()<\/code><\/code>. <\/p>\n\n\n\n# invocation d'un scriptblock \n{Get-ChildItem | % {$_.Name}}.Invoke()\n# utilisation de System.Management.Automation.PowerShell\n$powershell = [powershell]::Create()\n$powershell.AddScript('Get-ChildItem | % {$_.Name}')\n$powershell.Invoke()<\/pre>\n\n\n\nRunSpaces<\/code> qui permettent de cr\u00e9er une session pour maintenir une persistance des variables ou fonctions inject\u00e9es dans la m\u00e9moire. Il est possible d’utiliser PowerShell sans PowerShell, en utilisant la dll<\/code> System.Management.Automation<\/code> dans un code C#. Par exemple:<\/p>\n\n\n\nusing System;\nusing System.Management.Automation; \nusing System.Management.Automation.Runspaces;\n \nnamespace CustomPowerShell\n{\n class Program\n\t{\n\t\tpublic static void Main(string[] args)\n\t\t{\n Runspace runspace = RunspaceFactory.CreateRunspace();\n runspace.Open();\n RunspaceInvoke scriptInvoker = new RunspaceInvoke(runspace);\n Pipeline pipeline = runspace.CreatePipeline();\n pipeline.Commands.AddScript(\"ls -force\");\n pipeline.Commands.Add(\"Out-Default\");\n pipeline.Invoke();\n }\n }\n}<\/pre>\n\n\n\nS\u00e9curit\u00e9<\/h3>\n\n\n\n
module logging<\/code>, c\u2019est une protection rudimentaire qui permet d\u2019enregistrer les diff\u00e9rents \u00e9v\u00e9nements d\u2019ex\u00e9cution de commande, l\u2019enregistrement partiel des sorties et des donn\u00e9es d\u2019entr\u00e9es, ainsi que l\u2019ex\u00e9cution des scripts. PowerShell v4 introduit le script block logging<\/code>, ce dernier est une forme \u00e9volu\u00e9e du premier, il enregistre chaque bloc d’ex\u00e9cution, et propose dans les journaux d’\u00e9v\u00e9nement un rapport d\u00e9taill\u00e9 avec le r\u00e9sultat et les entr\u00e9es de la commande. PowerShell v5 impl\u00e9mente toutes les d\u00e9fenses modernes qu\u2019il existe autour de PowerShell (PowerShell <3 BlueTeam<\/a>) mise en place du “Transcript” qui enregistre chaque commande entr\u00e9e dans PowerShell, (si activ\u00e9e, la cl\u00e9 de registre EnableTranscripting<\/code> de chemin HKLM:\\Software\\Policies\\Microsoft\\Windows\\PowerShell\\Transcription<\/code> est \u00e9gal \u00e0 1, il est possible de sp\u00e9cifier dans les registres le fichier de sorties, OutputDirectory<\/code>). Introduction au DeepScriptBlockLogging<\/code> la diff\u00e9rence majeure avec la pr\u00e9c\u00e9dente version est que cette fois-ci m\u00eame si l\u2019appel est offusqu\u00e9, \u00e9tant donn\u00e9 qu\u2019il enregistre chaque phase, la commande sera donc logg\u00e9 enti\u00e8rement. Pour d\u00e9fendre au mieux les implants via PowerShell (enti\u00e8rement en PowerShell ou l\u2019utilisant comme support pour ex\u00e9cuter du .NET en m\u00e9moire), il est cr\u00e9\u00e9e l\u2019AMSI (AntiMalware ScanInterface<\/code>) qui permet de faire valider une commande avant son ex\u00e9cution par un antivirus (Defender ou autre). Une autre lourde protection est la possibilit\u00e9 de changer le LangageMode<\/code> pour restreindre au maximum l\u2019utilisation de PowerShell. Plusieurs contournements existent autour de ces solutions que nous verrons dans un futur article.<\/p>\n\n\n\nQuelques Cmdlets<\/h3>\n\n\n\n
Write-Host<\/code><\/code> permet d\u2019afficher un message. On peut en changer la couleur et le fond avec les param\u00e8tres -ForeGroundColor<\/code> et -BackGroundColor<\/code>.<\/li>Write-Verbose<\/code><\/code> permet d\u2019afficher un message dans une fonction uniquement si le param\u00e8tre -Verbose<\/code> est pr\u00e9sent, \u00e9galement pour Write-Debug<\/code><\/code>.<\/li>Get-Process<\/code><\/code> permet d\u2019acc\u00e9der aux diff\u00e9rents processus en cours.<\/li>Get-Service<\/code><\/code> permet d\u2019acc\u00e9der aux diff\u00e9rents services.<\/li>Get-ComputerInfo<\/code><\/code> permet d\u2019obtenir des informations sur le syst\u00e8me local.<\/li>Get-ChildItem<\/code><\/code> permet de lister un dossier.<\/li>Set-Location<\/code><\/code> permet de changer de dossier.<\/li>Get-Location<\/code><\/code> permet d\u2019obtenir le chemin actuel.<\/li>Get-PSDrive<\/code><\/code> permet d\u2019obtenir les “PSDrives” actuellement mont\u00e9s.<\/li>New-PSDrive<\/code><\/code> permet de monter un “PSDrive”.<\/li>Where-Object<\/code><\/code> permet d\u2019appliquer une condition et d\u2019en ressortir les \u00e9l\u00e9ments la remplissant.<\/li>New-Object<\/code><\/code> permet la cr\u00e9ation d\u2019objet .NET en indiquant au choix le type ou le chemin.<\/li>Sort-Object<\/code><\/code> permet de trier les objets selon certains ordres ou arrangements pass\u00e9 en argument comme -Unique<\/code> qui permet de filtrer les propri\u00e9t\u00e9s et les retournes uniquement une seule fois. <\/li><\/ul>\n\n\n\nAstuces<\/h3>\n\n\n\n
#<\/code> sur plusieurs il faut utiliser la structure <# #><\/code>. Les chemins vers les types .NET sont parfois long, pour les raccourcir il existe les acc\u00e9l\u00e9rateurs de types, par exemple [System.Management.Automation.PSCredential]<\/code><\/code> poss\u00e8de un acc\u00e9l\u00e9rateur de type [PSCredential]<\/code><\/code> vous pouvez trouver une liste d\u2019acc\u00e9l\u00e9rateur de type ici<\/a>. A propos des PSCredential<\/code>, ces derniers permettent l\u2019utilisation d\u2019identifiants alternatifs pour l\u2019action de la cmdlet (g\u00e9n\u00e9ralement ils sont attendus avec le param\u00e8tre -Credential<\/code>), coupl\u00e9s avec Start-Process<\/code><\/code>, ils peuvent se transformer en un runAs<\/code> tr\u00e8s puissant et naturel. Il existe plusieurs mani\u00e8res de d\u00e9finir un PSCredential<\/code>: la cmdlet Get-Credential<\/code><\/code> peut \u00eatre utilis\u00e9 dans ce but, une interface graphique demandera les identifiants, cette m\u00e9thode est pratique pour du Scripting, mais peu int\u00e9ressante lors de manipulation sans ce genre d\u2019interface ou n\u00e9cessitant une automatisation plus importante, un PSCredential <\/code>\u00e0 besoin d\u2019un SecureString<\/code>.<\/p>\n\n\n\n$pass = ConvertTo-SecureString -AsPlainText -Force \"passw0rd\"\n$cred = New-Object System.Management.Automation.PSCredential -ArgumentList \"domain\\user\",$pass\nStart-Process powershell.exe -Credential $cred<\/pre>\n\n\n\n