突破系统限制:PowerSploit在PowerShell v2环境下的兼容性实现方案
项目地址: https://gitcode.com/gh_mirrors/po/PowerSploit 引言:兼容性困境与解决方案
在老旧Windows系统中,PowerShell v2版本仍然广泛存在,但许多现代渗透测试工具已不再支持这一版本。本文将详细介绍如何修改PowerSploit框架以实现对PowerShell v2的兼容支持,确保在受限环境下仍能有效执行权限提升等关键操作。
兼容性分析:PowerShell v2的限制
PowerShell v2与更高版本相比存在诸多限制,主要包括:
- 缺乏现代PowerShell的高级功能和 cmdlet
- .NET Framework版本限制(最高支持.NET 2.0)
- 安全策略限制更严格
- 部分API和类不可用
实现方案:PowerSploit v2兼容改造
1. 版本声明调整
PowerSploit的核心模块需要明确声明支持PowerShell v2。以Privesc/PowerUp.ps1为例,确保文件开头包含正确的版本声明:
#Requires -Version 2
2. 替换不兼容的PowerShell cmdlet
PowerShell v2中缺少许多高级cmdlet,需要使用替代方法实现相同功能。例如:
| 高版本cmdlet | v2兼容替代方案 |
|---|---|
| Get-CimInstance | Get-WmiObject |
| Invoke-WebRequest | System.Net.WebClient |
| ConvertTo-SecureString -AsPlainText | 自定义实现 |
3. .NET API兼容性处理
PowerShell v2基于.NET Framework 2.0,需要替换高版本.NET API的使用。以PowerUp中的内存模块创建为例:
# v2兼容的内存模块创建实现
function New-InMemoryModule {
[CmdletBinding()]
Param (
[Parameter(Position = 0)]
[ValidateNotNullOrEmpty()]
[String]
$ModuleName = [Guid]::NewGuid().ToString()
)
$AppDomain = [Reflection.Assembly].Assembly.GetType('System.AppDomain').GetProperty('CurrentDomain').GetValue($null, @())
$LoadedAssemblies = $AppDomain.GetAssemblies()
foreach ($Assembly in $LoadedAssemblies) {
if ($Assembly.FullName -and ($Assembly.FullName.Split(',')[0] -eq $ModuleName)) {
return $Assembly
}
}
$DynAssembly = New-Object Reflection.AssemblyName($ModuleName)
$Domain = $AppDomain
$AssemblyBuilder = $Domain.DefineDynamicAssembly($DynAssembly, 'Run')
$ModuleBuilder = $AssemblyBuilder.DefineDynamicModule($ModuleName, $False)
return $ModuleBuilder
}
4. 结构体和枚举的兼容性实现
在PowerShell v2中,自定义结构体和枚举需要使用特殊的实现方式。以下是PowerUp中定义结构体的v2兼容代码:
function struct {
[OutputType([Type])]
Param (
[Parameter(Position = 1, Mandatory=$True)]
[ValidateScript({($_ -is [Reflection.Emit.ModuleBuilder]) -or ($_ -is [Reflection.Assembly])})]
$Module,
[Parameter(Position = 2, Mandatory=$True)]
[ValidateNotNullOrEmpty()]
[String]
$FullName,
[Parameter(Position = 3, Mandatory=$True)]
[ValidateNotNullOrEmpty()]
[Hashtable]
$StructFields,
[Reflection.Emit.PackingSize]
$PackingSize = [Reflection.Emit.PackingSize]::Unspecified,
[Switch]
$ExplicitLayout
)
# 结构体实现代码...
}
5. 权限检查实现
PowerUp模块中的权限检查功能需要完全兼容v2,以下是关键实现:
function Get-ModifiablePath {
[OutputType('PowerUp.ModifiablePath')]
[CmdletBinding()]
Param(
[Parameter(Position = 0, Mandatory = $True, ValueFromPipeline = $True, ValueFromPipelineByPropertyName = $True)]
[Alias('FullName')]
[String[]]
$Path,
[Alias('LiteralPaths')]
[Switch]
$Literal
)
BEGIN {
# 权限掩码定义
$AccessMask = @{
[uint32]'0x80000000' = 'GenericRead'
[uint32]'0x40000000' = 'GenericWrite'
# 其他权限定义...
}
$UserIdentity = [System.Security.Principal.WindowsIdentity]::GetCurrent()
# 实现代码...
}
# 其余实现代码...
}
测试验证:确保兼容性的关键步骤
1. 环境准备
搭建PowerShell v2测试环境:
- Windows XP或Windows Server 2003虚拟机
- 安装PowerShell v2
- 配置必要的测试权限
2. 功能测试矩阵
| 模块 | 功能 | v2测试结果 | 备注 |
|---|---|---|---|
| PowerUp | Get-ModifiablePath | 成功 | 需要管理员权限 |
| PowerUp | Invoke-AllChecks | 部分成功 | 部分检查需要调整 |
| PowerView | Get-NetUser | 成功 | WMI调用正常 |
3. 常见问题排查
-
问题:内存模块创建失败
解决:确保使用New-InMemoryModule函数的v2兼容实现 -
问题:枚举值无法正确解析
解决:使用psenum函数替代原生枚举类型 -
问题:权限检查返回空结果
解决:验证WMI服务是否正常运行
结论与后续工作
通过上述调整,PowerSploit可以在PowerShell v2环境下正常工作,极大扩展了其适用范围。未来工作将集中在:
- 完善更多模块的v2兼容性
- 优化性能,减少在老旧系统上的执行时间
- 增加更多针对v2环境的特殊功能
完整的v2兼容代码和详细文档可参考Privesc/PowerUp.ps1及官方文档docs/Privesc/index.md。
参考资源
- PowerSploit官方文档: docs/index.md
- PowerShell v2技术规范: Microsoft官方文档
- Windows API参考: MSDN Library
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
