tryhackme-Cyber Security 101-Command Line-Windows PowerShell
房間地址：https://tryhackme.com/room/windowspowershell
這是網(wǎng)絡(luò)安全入門(mén)的基礎(chǔ)模塊的計(jì)算機(jī)科學(xué)基礎(chǔ)知識(shí)：Windows PowerShell，序號(hào) 01 表示第一篇文章，當(dāng)你不知道從哪里開(kāi)始的時(shí)候，你可以按照數(shù)字順序來(lái)進(jìn)行參考即可。

Windows PowerShell

Task 1 Introduction

嗨！如果您來(lái)到這里，要么是因?yàn)槁?tīng)說(shuō)過(guò) PowerShell 的神奇之處，想要了解更多；要么是因?yàn)槟鷦倓倧拿钚心K的第一個(gè)房間——Windows 命令行——過(guò)來(lái)了。無(wú)論哪種方式，您都將踏上探索這個(gè)強(qiáng)大 Shell 的奇妙之旅，學(xué)習(xí)如何使用它來(lái)揭開(kāi)任何 Windows 系統(tǒng)的秘密。Avast，那就上船吧！
https://tryhackme.com/r/room/windowscommandline

學(xué)習(xí)目標(biāo)
這是命令行模塊的第二個(gè)單元。它是 PowerShell 的入門(mén)單元，PowerShell 是歷史上僅有的第二個(gè)為 Windows 操作系統(tǒng)構(gòu)建的命令行實(shí)用程序。
https://tryhackme.com/module/command-line

了解 PowerShell 是什么及其功能。
理解 PowerShell 語(yǔ)言的基本結(jié)構(gòu)。
學(xué)習(xí)并運(yùn)行一些基本的 PowerShell 命令。
了解 PowerShell 在網(wǎng)絡(luò)安全行業(yè)的眾多應(yīng)用。

房間先決條件
在進(jìn)入此房間之前，建議您先了解“Windows 和 AD 基礎(chǔ)知識(shí)”模塊以及“Windows 命令行”房間中的概念。
https://tryhackme.com/module/windows-and-active-directory-fundamentals
https://tryhackme.com/r/room/windowscommandline

Task 2 What Is PowerShell

來(lái)自微軟官方頁(yè)面：“PowerShell 是一個(gè)由命令行 shell、腳本語(yǔ)言和配置管理框架組成的跨平臺(tái)任務(wù)自動(dòng)化解決方案。”
https://learn.microsoft.com/en-us/powershell/scripting/overview?view=powershell-7.4

PowerShell 是微軟專(zhuān)為任務(wù)自動(dòng)化和配置管理而設(shè)計(jì)的一款強(qiáng)大工具。它結(jié)合了命令行界面和基于 .NET 框架構(gòu)建的腳本語(yǔ)言。與傳統(tǒng)的基于文本的命令行工具不同，PowerShell 是面向?qū)ο蟮?，這意味著它可以處理復(fù)雜的數(shù)據(jù)類(lèi)型并更有效地與系統(tǒng)組件交互。PowerShell 最初僅適用于 Windows，最近已擴(kuò)展到支持 macOS 和 Linux，使其成為跨不同操作系統(tǒng)的 IT 專(zhuān)業(yè)人員的多功能選擇。

• PowerShell簡(jiǎn)史

PowerShell 的開(kāi)發(fā)是為了克服 Windows 中現(xiàn)有命令行工具和腳本環(huán)境的局限性。21 世紀(jì)初，隨著 Windows 在復(fù)雜的企業(yè)環(huán)境中日益普及，cmd.exe 和批處理文件等傳統(tǒng)工具在自動(dòng)化和管理這些系統(tǒng)方面顯得力不從心。微軟需要一款能夠處理更復(fù)雜的管理任務(wù)并與 Windows 現(xiàn)代 API 交互的工具。

微軟工程師 Jeffrey Snover 意識(shí)到 Windows 和 Unix 處理系統(tǒng)操作的方式不同——Windows 使用結(jié)構(gòu)化數(shù)據(jù)和 API，而 Unix 則將所有內(nèi)容視為文本文件。這種差異使得將 Unix 工具移植到 Windows 變得不切實(shí)際。Snover 的解決方案是開(kāi)發(fā)一種面向?qū)ο蟮姆椒?，將腳本的簡(jiǎn)便性與 .NET 框架的強(qiáng)大功能相結(jié)合。PowerShell 于 2006 年發(fā)布，它允許管理員通過(guò)操作對(duì)象更有效地自動(dòng)化任務(wù)，并提供與 Windows 系統(tǒng)的更深入集成。

隨著 IT 環(huán)境不斷發(fā)展，涵蓋各種操作系統(tǒng)，對(duì)多功能自動(dòng)化工具的需求也日益增長(zhǎng)。 2016 年，微軟做出了回應(yīng)，發(fā)布了 PowerShell Core，這是一個(gè)可在 Windows、macOS 和 Linux 上運(yùn)行的開(kāi)源跨平臺(tái)版本。

• PowerShell 的強(qiáng)大功能

要充分理解 PowerShell 的強(qiáng)大功能，我們首先需要理解對(duì)象的含義。

在編程中，對(duì)象代表具有屬性（特性）和方法（操作）的事物。例如，汽車(chē)對(duì)象可能具有 Color、Model 和 FuelLevel 等屬性，以及 Drive()、HonkHorn() 和 Refuel() 等方法。

同樣，在 PowerShell 中，對(duì)象是封裝數(shù)據(jù)和功能的基本單元，使信息管理和操作更加便捷。PowerShell 中的對(duì)象可以包含文件名、用戶(hù)名或大小作為數(shù)據(jù)（屬性），并執(zhí)行諸如復(fù)制文件或停止進(jìn)程之類(lèi)的函數(shù)（方法）。

傳統(tǒng) Command Shell 的基本命令是基于文本的，這意味著它們以純文本形式處理和輸出數(shù)據(jù)。而當(dāng)在 PowerShell 中運(yùn)行 cmdlet（發(fā)音為 command-let）時(shí)，它會(huì)返回保留其屬性和方法的對(duì)象。由于這些對(duì)象不需要額外的文本解析，因此可以實(shí)現(xiàn)更強(qiáng)大、更靈活的數(shù)據(jù)操作。

我們將在接下來(lái)的部分中進(jìn)一步探討有關(guān) PowerShell 的 cmdlet 及其功能。

Task 3 PowerShell Basics

在繼續(xù)我們的 PowerShell 之旅之前，讓我們先連接到實(shí)驗(yàn)環(huán)境。按下“Start Machine”按鈕，然后按下頁(yè)面頂部的“Start AttackBox”按鈕啟動(dòng) AttackBox。AttackBox 機(jī)器將以分屏視圖啟動(dòng)。如果看不到，請(qǐng)使用頁(yè)面頂部的藍(lán)色“Show Split View”按鈕。

您可以按照以下步驟使用 Remmina 客戶(hù)端通過(guò) SSH 連接到目標(biāo)虛擬機(jī)。

點(diǎn)擊“應(yīng)用程序”（如下圖所示，編號(hào)為 1）。選擇“Internet”（編號(hào)為 2），然后選擇“Remmina”（編號(hào)為 3）。

將會(huì)彈出一個(gè)窗口，提示您輸入密碼以解鎖 AttackBox 的密鑰環(huán)。點(diǎn)擊“取消”即可忽略該提示。

從下拉菜單中選擇 SSH 選項(xiàng)（下圖中的數(shù)字 1），然后在頂部的欄中粘貼目標(biāo) IP：MACHINE_IP（數(shù)字 2）。最后，點(diǎn)擊 Enter。

在下一個(gè)窗口中，輸入下面卡片中的憑據(jù)，然后單擊“確定”。

Username	captain
Password	JollyR0ger#
IP	MACHINE_IP

• 啟動(dòng) PowerShell

您可以通過(guò)多種方式啟動(dòng) PowerShell，具體取決于您的需求和環(huán)境。如果您在 Windows 系統(tǒng)上使用圖形界面 (GUI)，以下是一些可行的啟動(dòng)方式：

“開(kāi)始”菜單：在 Windows“開(kāi)始”菜單搜索欄中輸入“powershell”，然后在搜索結(jié)果中點(diǎn)擊“Windows PowerShell”或“PowerShell”。
“運(yùn)行”對(duì)話框：按 Win + R 打開(kāi)“運(yùn)行”對(duì)話框，輸入“powershell”，然后按 Enter。
“文件資源管理器”：導(dǎo)航到任意文件夾，在地址欄中輸入“powershell”，然后按 Enter。這將在該特定目錄中打開(kāi) PowerShell。
“任務(wù)管理器”：打開(kāi)“任務(wù)管理器”，依次選擇“文件”>“運(yùn)行新任務(wù)”，輸入“powershell”，然后按 Enter。

或者，也可以通過(guò)輸入 powershell 并按 Enter 鍵從命令提示符 (cmd.exe) 啟動(dòng) PowerShell。

在我們的例子中，我們只能訪問(wèn)目標(biāo) VM 的命令提示符，這是我們將使用的方法。

captain@THEBLACKPEARL C:\Users\captain>powershell
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.

Install the latest PowerShell for new features and improvements! https://aka.ms/PSWindows

PS C:\Users\captain> 

PowerShell 啟動(dòng)后，我們會(huì)在當(dāng)前工作目錄中看到 PS（代表 PowerShell）提示符。

• 基本語(yǔ)法：動(dòng)詞-名詞 Verb-Noun

如前所述，PowerShell 命令被稱(chēng)為 cmdlet（發(fā)音為 command-lets）。它們比傳統(tǒng)的 Windows 命令功能強(qiáng)大得多，并且允許進(jìn)行更高級(jí)的數(shù)據(jù)操作。

Cmdlet 遵循一致的動(dòng)詞-名詞命名約定。這種結(jié)構(gòu)使每個(gè) cmdlet 的功能易于理解。動(dòng)詞描述操作，名詞指定執(zhí)行操作的對(duì)象。例如：

Get-Content：檢索（獲取）文件內(nèi)容并將其顯示在控制臺(tái)中。
Set-Location：更改（設(shè)置）當(dāng)前工作目錄。

• 基本 Cmdlet

要列出當(dāng)前 PowerShell 會(huì)話中可執(zhí)行的所有可用 cmdlet、函數(shù)、別名和腳本，我們可以使用 Get-Command。它是發(fā)現(xiàn)可用命令的重要工具。

PS C:\Users\captain> Get-Command

CommandType     Name                                               Version    Source 
-----------     ----                                               -------    ------ 

Alias           Add-AppPackage                                     2.0.1.0    Appx                                                                                                                                       
Alias           Add-AppPackageVolume                               2.0.1.0    Appx                                                                                                                                       
Alias           Add-AppProvisionedPackage                          3.0        Dism                                                                                                                                       
[...]
Function        A:
Function        Add-BCDataCacheExtension                           1.0.0.0    BranchCache                                                                                                                                
Function        Add-DnsClientDohServerAddress                      1.0.0.0    DnsClient
[...]
Cmdlet          Add-AppxPackage                                    2.0.1.0    Appx
Cmdlet          Add-AppxProvisionedPackage                         3.0        Dism                                                                                                                                       
Cmdlet          Add-AppxVolume                                     2.0.1.0    Appx
[...]

對(duì)于 cmdlet 檢索到的每個(gè) CommandInfo 對(duì)象，控制臺(tái)上都會(huì)顯示一些基本信息（屬性）。可以根據(jù)顯示的屬性值過(guò)濾命令列表。例如，如果我們只想顯示“function”類(lèi)型的可用命令，可以使用 -CommandType "Function"，如下所示：

PS C:\Users\captain> Get-Command -CommandType "Function"

CommandType     Name                                               Version    Source                                                                                                                                     
-----------     ----                                               -------    ------
Function        A:
Function        Add-BCDataCacheExtension                           1.0.0.0    BranchCache
Function        Add-DnsClientDohServerAddress                      1.0.0.0    DnsClient
Function        Add-DnsClientNrptRule                              1.0.0.0    DnsClient
[...]

我們將在接下來(lái)的任務(wù)中學(xué)習(xí)更高效的 cmdlet 輸出過(guò)濾方法。

另一個(gè)值得我們隨時(shí)掌握的必備 cmdlet 是 Get-Help：它提供了有關(guān) cmdlet 的詳細(xì)信息，包括用法、參數(shù)和示例。它是學(xué)習(xí)如何使用 PowerShell 命令的必備 cmdlet。

PS C:\Users\captain> Get-Help Get-Date

NAME
    Get-Date

SYNOPSIS
    Gets the current date and time.

SYNTAX
    Get-Date [[-Date] <System.DateTime>] [-Day <System.Int32>] [-DisplayHint {Date | Time | DateTime}] [-Format <System.String>] [-Hour <System.Int32>] [-Millisecond <System.Int32>] [-Minute <System.Int32>] [-Month <System.Int32>] [-Second <System.Int32>] [-Year <System.Int32>] [<CommonParameters>]

    Get-Date [[-Date] <System.DateTime>] [-Day <System.Int32>] [-DisplayHint {Date | Time | DateTime}] [-Hour <System.Int32>] [-Millisecond <System.Int32>] [-Minute <System.Int32>] [-Month <System.Int32>] [-Second <System.Int32>] [-UFormat <System.String>] [-Year <System.Int32>] [<CommonParameters>]

DESCRIPTION
        The `Get-Date` cmdlet gets a DateTime object that represents the current date or a date that you specify. `Get-Date` can format the date and time in several .NET and UNIX formats. You can use `Get-Date` to generate a date or time character string, and then send the string to other cmdlets or programs.
        
        `Get-Date` uses the current culture settings of the operating system to determine how the output is formatted. To view your computer's settings, use `(Get-Culture).DateTimeFormat`.

RELATED LINKS
    Online Version: https://learn.microsoft.com/powershell/module/microsoft.powershell.utility/get-date?view=powershell-5.1&WT.mc_id=ps-gethelp
    ForEach-Object
    Get-Culture
    Get-Member
    New-Item
    New-TimeSpan
    Set-Date
    Set-Culture xref:International.Set-Culture

REMARKS
    To see the examples, type: "get-help Get-Date -examples".
    For more information, type: "get-help Get-Date -detailed".
    For technical information, type: "get-help Get-Date -full".
    For online help, type: "get-help Get-Date -online".

如上圖所示，Get-Help 告訴我們，通過(guò)在基本語(yǔ)法后附加一些選項(xiàng)，我們可以檢索有關(guān) cmdlet 的其他有用信息。例如，通過(guò)在上面顯示的命令后附加 -examples，我們將看到所選 cmdlet 的常用使用方法列表。

為了讓 IT 專(zhuān)業(yè)人員更輕松地過(guò)渡，PowerShell 為許多傳統(tǒng) Windows 命令提供了別名（即 cmdlet 的快捷方式或替代名稱(chēng)）。對(duì)于熟悉其他命令行工具的用戶(hù)來(lái)說(shuō)，Get-Alias 功能必不可少，它會(huì)列出所有可用的別名。例如，dir 是 Get-ChildItem 的別名，cd 是 Set-Location 的別名。

PS C:\Users\captain> Get-Alias

CommandType     Name                                               Version    Source 
-----------     ----                                               -------    ------
Alias           % -> ForEach-Object
Alias           ? -> Where-Object
Alias           ac -> Add-Content
Alias           asnp -> Add-PSSnapin
Alias           cat -> Get-Content
Alias           cd -> Set-Location
Alias           CFS -> ConvertFrom-String                          3.1.0.0    Microsoft.PowerShell.Utility
Alias           chdir -> Set-Location 
Alias           clc -> Clear-Content
Alias           clear -> Clear-Host
[...]

• 在哪里查找和下載 Cmdlet

PowerShell 的另一個(gè)強(qiáng)大功能是可以通過(guò)從在線存儲(chǔ)庫(kù)下載其他 cmdlet 來(lái)擴(kuò)展其功能。

注意：請(qǐng)注意，本節(jié)列出的 cmdlet 需要有效的互聯(lián)網(wǎng)連接才能查詢(xún)?cè)诰€存儲(chǔ)庫(kù)。連接的計(jì)算機(jī)無(wú)法訪問(wèn)互聯(lián)網(wǎng)，因此這些命令在此環(huán)境下無(wú)法運(yùn)行。

要在 PowerShell 庫(kù)等在線存儲(chǔ)庫(kù)中搜索模塊（cmdlet 集合），我們可以使用 Find-Module。有時(shí)，如果我們不知道模塊的確切名稱(chēng)，搜索名稱(chēng)相似的模塊會(huì)很有用。我們可以通過(guò)篩選 Name 屬性并在模塊的部分名稱(chēng)后附加通配符 (*) 來(lái)實(shí)現(xiàn)，使用以下標(biāo)準(zhǔn) PowerShell 語(yǔ)法：Cmdlet -Property "pattern*"。

PS C:\Users\captain> Find-Module -Name "PowerShell*"   

Version    Name                                Repository           Description 
-------    ----                                ----------           ----------- 
0.4.7      powershell-yaml                     PSGallery            Powershell module for serializing and deserializing YAML

2.2.5      PowerShellGet                       PSGallery            PowerShell module with commands for discovering, installing, updating and publishing the PowerShell artifacts like Modules, DSC Resources, Role Capabilities and Scripts.                                                   
1.0.80.0   PowerShell.Module.InvokeWinGet      PSGallery            Module to Invoke WinGet and parse the output in PSOjects

0.17.0     PowerShellForGitHub                 PSGallery            PowerShell wrapper for GitHub API  

一旦識(shí)別，就可以使用 Install-Module 從存儲(chǔ)庫(kù)下載并安裝模塊，從而使模塊中包含的新 cmdlet 可供使用。

PS C:\Users\captain> Install-Module -Name "PowerShellGet"

Untrusted repository
You are installing the modules from an untrusted repository. If you trust this repository, change its InstallationPolicy value by running the Set-PSRepository cmdlet. Are you sure you want to install the modules from 'PSGallery'?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "N"): 

有了這些必備工具，我們現(xiàn)在可以開(kāi)始探索 PowerShell 的功能。

Task 4 Navigating the File System and Working with Files

PowerShell 提供了一系列用于瀏覽文件系統(tǒng)和管理文件的 cmdlet，其中許多命令在傳統(tǒng)的 Windows CLI 中都有對(duì)應(yīng)的功能。

與命令提示符中的 dir 命令（或類(lèi) Unix 系統(tǒng)中的 ls 命令）類(lèi)似，Get-ChildItem 會(huì)列出使用 -Path 參數(shù)指定位置的文件和目錄。它可用于瀏覽目錄并查看其內(nèi)容。如果未指定 Path，則該 cmdlet 將顯示當(dāng)前工作目錄的內(nèi)容。

PS C:\Users\captain> Get-ChildItem 

    Directory: C:\Users\captain

Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
d-r---          5/8/2021   9:15 AM                Desktop
d-r---          9/4/2024  10:58 AM                Documents
d-r---          5/8/2021   9:15 AM                Downloads
d-r---          5/8/2021   9:15 AM                Favorites
d-r---          5/8/2021   9:15 AM                Links
d-r---          5/8/2021   9:15 AM                Music
d-r---          5/8/2021   9:15 AM                Pictures
d-----          5/8/2021   9:15 AM                Saved Games
d-r---          5/8/2021   9:15 AM                Videos

要導(dǎo)航到其他目錄，我們可以使用 Set-Location cmdlet。它會(huì)更改當(dāng)前目錄，將我們帶到指定的路徑，類(lèi)似于命令提示符中的 cd 命令。

PS C:\Users\captain> Set-Location -Path ".\Documents"
PS C:\Users\captain\Documents> 

傳統(tǒng)的 Windows CLI 使用單獨(dú)的命令來(lái)創(chuàng)建和管理不同的項(xiàng)目（例如目錄和文件），而 PowerShell 通過(guò)提供一組 cmdlet 來(lái)處理文件和目錄的創(chuàng)建和管理，從而簡(jiǎn)化了此過(guò)程。

要在 PowerShell 中創(chuàng)建項(xiàng)目，我們可以使用 New-Item 命令。我們需要指定項(xiàng)目的路徑及其類(lèi)型（無(wú)論是文件還是目錄）。

PS C:\Users\captain\Documents> New-Item -Path ".\captain-cabin\captain-wardrobe" -ItemType "Directory"

    Directory: C:\Users\captain\Documents\captain-cabin

Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
d-----          9/4/2024  12:20 PM                captain-wardrobe

PS C:\Users\captain\Documents> New-Item -Path ".\captain-cabin\captain-wardrobe\captain-boots.txt" -ItemType "File"     

    Directory: C:\Users\captain\Documents\captain-cabin\captain-wardrobe

Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----          9/4/2024  11:46 AM              0 captain-boots.txt  

類(lèi)似地，Remove-Item cmdlet 會(huì)同時(shí)刪除目錄和文件，而在 Windows CLI 中我們有單獨(dú)的命令 rmdir 和 del。

PS C:\Users\captain\Documents> Remove-Item -Path ".\captain-cabin\captain-wardrobe\captain-boots.txt"
PS C:\Users\captain\Documents> Remove-Item -Path ".\captain-cabin\captain-wardrobe" 

我們可以復(fù)制或移動(dòng)文件和目錄，分別使用 Copy-Item（相當(dāng)于復(fù)制）和 Move-Item（相當(dāng)于移動(dòng)）。

PS C:\Users\captain\Documents> Copy-Item -Path .\captain-cabin\captain-hat.txt -Destination .\captain-cabin\captain-hat2.txt
PS C:\Users\captain\Documents> Get-ChildItem -Path ".\captain-cabin\" 

    Directory: C:\Users\captain\Documents\captain-cabin

Mode                 LastWriteTime         Length Name 
----                 -------------         ------ ----
d-----          9/4/2024  12:50 PM                captain-wardrobe
-a----          9/4/2024  12:50 PM              0 captain-boots.txt
-a----          9/4/2024  12:14 PM            264 captain-hat.txt
-a----          9/4/2024  12:14 PM            264 captain-hat2.txt
-a----          9/4/2024  12:37 PM           2116 ship-flag.txt 

最后，要讀取和顯示文件的內(nèi)容，我們可以使用 Get-Content cmdlet，其工作方式類(lèi)似于命令提示符中的 type 命令（或類(lèi) Unix 系統(tǒng)中的 cat）。

PS C:\Users\captain\Documents\captain-cabin> Get-Content -Path ".\captain-hat.txt"
 _           _   
| |         | |
| |__   __ _| |_
| '_ \ / _ | __|
| | | | (_| | |_
|_| |_|\__,_|\__|

Don't touch my hat!

Task 5 Piping, Filtering, and Sorting Data

管道是命令行環(huán)境中使用的一種技術(shù)，允許將一個(gè)命令的輸出用作另一個(gè)命令的輸入。這會(huì)創(chuàng)建一個(gè)操作序列，其中數(shù)據(jù)從一個(gè)命令流向下一個(gè)命令。管道由 | 符號(hào)表示，廣泛用于 Windows CLI（如本模塊前面介紹的那樣）以及基于 Unix 的 Shell。

在 PowerShell 中，管道功能更加強(qiáng)大，因?yàn)樗梢詡鬟f對(duì)象而不僅僅是文本。這些對(duì)象不僅包含數(shù)據(jù)，還包含描述數(shù)據(jù)并與數(shù)據(jù)交互的屬性和方法。

例如，如果您想獲取目錄中的文件列表，然后按大小排序，您可以在 PowerShell 中使用以下命令：

PS C:\Users\captain\Documents\captain-cabin> Get-ChildItem | Sort-Object Length

    Directory: C:\Users\captain\Documents\captain-cabin

Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----          9/4/2024  12:50 PM              0 captain-boots.txt
-a----          9/4/2024  12:14 PM            264 captain-hat2.txt
-a----          9/4/2024  12:14 PM            264 captain-hat.txt
-a----          9/4/2024  12:37 PM           2116 ship-flag.txt
d-----          9/4/2024  12:50 PM                captain-wardrobe

這里，Get-ChildItem 檢索文件（作為對(duì)象），然后管道 (|) 將這些文件對(duì)象發(fā)送到 Sort-Object，后者根據(jù)其 Length（大?。傩詫?duì)它們進(jìn)行排序。這種基于對(duì)象的方法允許更詳細(xì)、更靈活的命令序列。

在上面的示例中，我們利用 Sort-Object cmdlet 根據(jù)指定屬性對(duì)對(duì)象進(jìn)行排序。除了排序之外，PowerShell 還提供了一組 cmdlet，這些 cmdlet 與管道結(jié)合使用時(shí)，可以進(jìn)行高級(jí)數(shù)據(jù)操作和分析。

要根據(jù)指定條件過(guò)濾對(duì)象，僅返回符合條件的對(duì)象，我們可以使用 Where-Object cmdlet。例如，要僅列出目錄中的 .txt 文件，我們可以使用：

PS C:\Users\captain\Documents\captain-cabin> Get-ChildItem | Where-Object -Property "Extension" -eq ".txt" 

    Directory: C:\Users\captain\Documents\captain-cabin

Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----          9/4/2024  12:50 PM              0 captain-boots.txt
-a----          9/4/2024  12:14 PM            264 captain-hat.txt
-a----          9/4/2024  12:14 PM            264 captain-hat2.txt
-a----          9/4/2024  12:37 PM           2116 ship-flag.txt

這里，Where-Object 根據(jù)文件的擴(kuò)展名屬性進(jìn)行過(guò)濾，確保只列出擴(kuò)展名等于 (-eq) .txt 的文件。

運(yùn)算符 -eq（即“等于”）是與其他腳本語(yǔ)言（例如 Bash、Python）共享的一組比較運(yùn)算符的一部分。為了展示 PowerShell 過(guò)濾功能的潛力，我們從該列表中選擇了一些最有用的運(yùn)算符：

-ne：“不等于”。此運(yùn)算符可用于根據(jù)指定條件從結(jié)果中排除對(duì)象。
-gt：“大于”。此運(yùn)算符將僅過(guò)濾超過(guò)指定值的對(duì)象。需要注意的是，這是一個(gè)嚴(yán)格比較，這意味著等于指定值的對(duì)象將被排除在結(jié)果之外。
-ge：“大于或等于”。這是前一個(gè)運(yùn)算符的非嚴(yán)格版本。-gt 和 -eq 的組合。
-lt：“小于”。與“大于”類(lèi)似，這是一個(gè)嚴(yán)格運(yùn)算符。它只會(huì)包含嚴(yán)格小于某個(gè)值的對(duì)象。
-le：“小于或等于”。與 -ge 類(lèi)似，這是前一個(gè)運(yùn)算符的非嚴(yán)格版本。-lt 和 -eq 的組合。

下面的另一個(gè)示例顯示，也可以通過(guò)選擇與指定模式匹配（類(lèi)似）的屬性來(lái)過(guò)濾對(duì)象：

PS C:\Users\captain\Documents\captain-cabin> Get-ChildItem | Where-Object -Property "Name" -like "ship*"  

    Directory: C:\Users\captain\Documents\captain-cabin

Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----          9/4/2024  12:37 PM           2116 ship-flag.txt

下一個(gè)過(guò)濾 cmdlet Select-Object 用于從對(duì)象中選擇特定屬性或限制返回的對(duì)象數(shù)量。它有助于優(yōu)化輸出，使其僅顯示所需的詳細(xì)信息。

PS C:\Users\captain\Documents\captain-cabin> Get-ChildItem | Select-Object Name,Length 

Name              Length
----              ------
captain-wardrobe
captain-boots.txt 0
captain-hat.txt   264
captain-hat2.txt  264
ship-flag.txt     2116

cmdlet 管道可以通過(guò)添加更多命令來(lái)擴(kuò)展，因?yàn)樵摴δ懿粌H限于兩個(gè) cmdlet 之間的管道傳輸。作為練習(xí)，請(qǐng)嘗試構(gòu)建一個(gè) cmdlet 管道來(lái)對(duì)輸出進(jìn)行排序和篩選，目標(biāo)是顯示 C:\Users\captain\Documents\captain-cabin 目錄中最大的文件。

Get-ChildItem | Sort-Object Length -Descending | Select-Object -First 1

    Directory: C:\Users\captain\Documents\captain-cabin

Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----          9/4/2024  12:37 PM           2116 ship-flag.txt

這組過(guò)濾 cmdlet 中的最后一個(gè)是 Select-String。此 cmdlet 在文件中搜索文本模式，類(lèi)似于 Unix 系統(tǒng)中的 grep 或 Windows 命令提示符中的 findstr。它通常用于在日志文件或文檔中查找特定內(nèi)容。

PS C:\Users\captain\Documents\captain-cabin> Select-String -Path ".\captain-hat.txt" -Pattern "hat" 

captain-hat.txt:8:Don't touch my hat!

Select-String cmdlet 完全支持使用正則表達(dá)式 (regex)。此高級(jí)功能允許在文件內(nèi)進(jìn)行復(fù)雜的模式匹配，使其成為搜索和分析文本數(shù)據(jù)的強(qiáng)大工具。
https://learn.microsoft.com/en-us/dotnet/standard/base-types/regular-expressions

Task 6 System and Network Information

PowerShell 的誕生是為了滿足日益增長(zhǎng)的對(duì)強(qiáng)大自動(dòng)化和管理工具的需求，以幫助系統(tǒng)管理員和 IT 專(zhuān)業(yè)人員。因此，它提供了一系列 cmdlet，允許檢索有關(guān)系統(tǒng)配置和網(wǎng)絡(luò)設(shè)置的詳細(xì)信息。

Get-ComputerInfo cmdlet 可以檢索全面的系統(tǒng)信息，包括操作系統(tǒng)信息、硬件規(guī)格、BIOS 詳細(xì)信息等。它只需一條命令即可提供整個(gè)系統(tǒng)配置的快照。而其傳統(tǒng)的對(duì)應(yīng)命令 systeminfo 只能檢索一小部分相同的詳細(xì)信息。

           
PS C:\Users\captain> Get-ComputerInfo

WindowsBuildLabEx                                       : 20348.859.amd64fre.fe_release_svc_prod2.220707-1832
WindowsCurrentVersion                                   : 6.3
WindowsEditionId                                        : ServerDatacenter
WindowsInstallationType                                 : Server Core
WindowsInstallDateFromRegistry                          : 4/23/2024 6:36:29 PM
WindowsProductId                                        : 00454-60000-00001-AA763
WindowsProductName                                      : Windows Server 2022 Datacenter
[...]

        

Get-LocalUser 是管理用戶(hù)帳戶(hù)和了解計(jì)算機(jī)安全配置的關(guān)鍵工具，它會(huì)列出系統(tǒng)上的所有本地用戶(hù)帳戶(hù)。默認(rèn)輸出會(huì)顯示每個(gè)用戶(hù)的用戶(hù)名、帳戶(hù)狀態(tài)和描述。

           
PS C:\Users\captain> Get-LocalUser

Name               Enabled Description 
----               ------- -----------
Administrator      True    Built-in account for administering the computer/domain
captain            True    The beloved captain of this pirate ship.
DefaultAccount     False   A user account managed by the system.
Guest              False   Built-in account for guest access to the computer/domain
WDAGUtilityAccount False   A user account managed and used by the system for Windows Defender Application Guard scenarios.

        

與傳統(tǒng)的 ipconfig 命令類(lèi)似，以下兩個(gè) cmdlet 可用于檢索有關(guān)系統(tǒng)網(wǎng)絡(luò)配置的詳細(xì)信息。

Get-NetIPConfiguration 提供有關(guān)系統(tǒng)上網(wǎng)絡(luò)接口的詳細(xì)信息，包括 IP 地址、DNS 服務(wù)器和網(wǎng)關(guān)配置。

PS C:\Users\captain> Get-NetIPConfiguration

InterfaceAlias       : Ethernet
InterfaceIndex       : 5
InterfaceDescription : Amazon Elastic Network Adapter
NetProfile.Name      : Network 3
IPv4Address          : 10.10.178.209
IPv6DefaultGateway   :
IPv4DefaultGateway   : 10.10.0.1
DNSServer            : 10.0.0.2

如果我們需要有關(guān)分配給網(wǎng)絡(luò)接口的 IP 地址的具體詳細(xì)信息，Get-NetIPAddress cmdlet 將顯示系統(tǒng)上配置的所有 IP 地址的詳細(xì)信息，包括當(dāng)前未活動(dòng)的 IP 地址。

           
PS C:\Users\captain> Get-NetIPAddress

IPAddress         : fe80::3fef:360c:304:64e%5
InterfaceIndex    : 5
InterfaceAlias    : Ethernet
AddressFamily     : IPv6
Type              : Unicast
PrefixLength      : 64
PrefixOrigin      : WellKnown
SuffixOrigin      : Link
AddressState      : Preferred
ValidLifetime     : Infinite ([TimeSpan]::MaxValue)
PreferredLifetime : Infinite ([TimeSpan]::MaxValue)
SkipAsSource      : False
PolicyStore       : ActiveStore

IPAddress         : ::1
InterfaceIndex    : 1
InterfaceAlias    : Loopback Pseudo-Interface 1
AddressFamily     : IPv6
[...]

IPAddress         : 10.10.178.209
InterfaceIndex    : 5
InterfaceAlias    : Ethernet
AddressFamily     : IPv4
[...]

IPAddress         : 127.0.0.1
InterfaceIndex    : 1
InterfaceAlias    : Loopback Pseudo-Interface 1
AddressFamily     : IPv4
[...]

        

這些 cmdlet 使 IT 專(zhuān)業(yè)人員能夠直接從命令行快速訪問(wèn)關(guān)鍵系統(tǒng)和網(wǎng)絡(luò)信息，從而更輕松地監(jiān)控和管理本地和遠(yuǎn)程機(jī)器。

Task 7 Real-Time System Analysis

為了收集更高級(jí)的系統(tǒng)信息，尤其是有關(guān)正在運(yùn)行的進(jìn)程、服務(wù)和活動(dòng)網(wǎng)絡(luò)連接等動(dòng)態(tài)信息，我們可以利用一組超越靜態(tài)機(jī)器詳細(xì)信息的 cmdlet。

Get-Process 提供所有當(dāng)前正在運(yùn)行的進(jìn)程的詳細(xì)視圖，包括 CPU 和內(nèi)存使用情況，使其成為強(qiáng)大的監(jiān)控和故障排除工具。

           
PS C:\Users\captain> Get-Process

Handles  NPM(K)    PM(K)      WS(K)     CPU(s)     Id  SI ProcessName 
-------  ------    -----      -----     ------     --  -- -----------
     67       5      872        500       0.06   2340   0 AggregatorHost
     55       5      712       2672       0.02   3024   0 AM_Delta_Patch_1.417.483.0
    309      13    18312       1256       0.52   1524   0 amazon-ssm-agent
     78       6     4440        944       0.02    516   0 cmd
     94       7     1224       1744       0.31    568   0 conhost
[...]

        

同樣，Get-Service 允許檢索有關(guān)計(jì)算機(jī)上服務(wù)狀態(tài)的信息，例如哪些服務(wù)正在運(yùn)行、停止或暫停。它廣泛用于系統(tǒng)管理員的故障排除，也用于取證分析師尋找系統(tǒng)上安裝的異常服務(wù)。
一把梭：為什么可用于取證分析？因?yàn)镚et-Service中的Name屬性具有唯一性。（底層 Name 包含一個(gè)唯一標(biāo)識(shí)符 (LUID) 來(lái)區(qū)分，例如 Contact Data_443f50。）這里點(diǎn)出來(lái)只能讓你知道看哪里。來(lái)解決那些“異常的”Name名稱(chēng)。并不是說(shuō)這種方法非常好。因?yàn)檫@種方法要求防御者必須提前知道服務(wù)的名稱(chēng)。僅為輔助IOC，而非核心的重大發(fā)現(xiàn)（服務(wù)name 命名為hack的小黑除外）。
當(dāng)然，還存在Get-Service不顯示的隱藏服務(wù)（包括services.exe 、 Get-Service 、 sc query）：https://www.sans.org/blog/defense-spotlight-finding-hidden-windows-services

           
PS C:\Users\captain> Get-Service

Status   Name               DisplayName                           
------   ----               -----------
Stopped  Amazon EC2Launch   Amazon EC2Launch
Running  AmazonSSMAgent     Amazon SSM Agent
Stopped  AppIDSvc           Application Identity
Running  BFE                Base Filtering Engine
Running  CertPropSvc        Certificate Propagation
Stopped  ClipSVC            Client License Service (ClipSVC)
[...]

        

為了監(jiān)控活動(dòng)的網(wǎng)絡(luò)連接，Get-NetTCPConnection 會(huì)顯示當(dāng)前的 TCP 連接，從而深入了解本地和遠(yuǎn)程端點(diǎn)。此 cmdlet 在事件響應(yīng)或惡意軟件分析任務(wù)中特別有用，因?yàn)樗梢园l(fā)現(xiàn)隱藏的后門(mén)或與攻擊者控制的服務(wù)器建立的連接。

PS C:\Users\captain> Get-NetTCPConnection

LocalAddress        LocalPort RemoteAddress       RemotePort State       AppliedSetting OwningProcess 
------------        --------- -------------       ---------- -----       -------------- -------------
[...]
::                  22        ::                  0          Listen                     1444          
10.10.178.209       49695     199.232.26.172      80         TimeWait                   0
0.0.0.0             49668     0.0.0.0             0          Listen                     424
0.0.0.0             49667     0.0.0.0             0          Listen                     652
0.0.0.0             49666     0.0.0.0             0          Listen                     388
0.0.0.0             49665     0.0.0.0             0          Listen                     560
0.0.0.0             49664     0.0.0.0             0          Listen                     672           
0.0.0.0             3389      0.0.0.0             0          Listen                     980
10.10.178.209       139       0.0.0.0             0          Listen                     4
0.0.0.0             135       0.0.0.0             0          Listen                     908
10.10.178.209       22        10.14.87.60         53523      Established Internet       1444
0.0.0.0             22        0.0.0.0             0          Listen                     1444

此外，我們將提到 Get-FileHash 是一個(gè)用于生成文件哈希的有用 cmdlet，它在事件響應(yīng)、威脅搜尋和惡意軟件分析中特別有價(jià)值，因?yàn)樗兄隍?yàn)證文件完整性并檢測(cè)潛在的篡改。

PS C:\Users\captain\Documents\captain-cabin> Get-FileHash -Path .\ship-flag.txt    

Algorithm       Hash                      Path 
---------       ----                      ----
SHA256          54D2EC3C12BF3D[...]       C:\Users\captain\Documents\captain-cabin\ship-flag.txt

這些 cmdlet 共同提供了一套用于實(shí)時(shí)系統(tǒng)監(jiān)控和分析的綜合工具，對(duì)事件響應(yīng)者和威脅獵手特別有用。

Task 8 Scripting

腳本編寫(xiě)是指編寫(xiě)并執(zhí)行包含在文本文件中的一系列命令（稱(chēng)為腳本）的過(guò)程，這些命令可以自動(dòng)執(zhí)行通常在 Shell（例如 PowerShell）中手動(dòng)執(zhí)行的任務(wù)。

簡(jiǎn)而言之，腳本編寫(xiě)就像給計(jì)算機(jī)一個(gè)待辦事項(xiàng)列表，其中腳本中的每一行都是計(jì)算機(jī)將自動(dòng)執(zhí)行的一項(xiàng)任務(wù)。這可以節(jié)省時(shí)間，減少出錯(cuò)的可能性，并允許執(zhí)行過(guò)于復(fù)雜或繁瑣而無(wú)法手動(dòng)完成的任務(wù)。隨著您對(duì) Shell 和腳本編寫(xiě)的深入了解，您會(huì)發(fā)現(xiàn)腳本可以成為管理系統(tǒng)、處理數(shù)據(jù)等眾多功能的強(qiáng)大工具。

學(xué)習(xí)使用 PowerShell 編寫(xiě)腳本超出了本課程的范圍。盡管如此，我們必須明白，它的強(qiáng)大功能使其成為所有網(wǎng)絡(luò)安全角色的一項(xiàng)關(guān)鍵技能。

對(duì)于藍(lán)隊(duì)專(zhuān)業(yè)人員（例如事件響應(yīng)人員、惡意軟件分析師和威脅獵手）而言，PowerShell 腳本可以自動(dòng)執(zhí)行許多不同的任務(wù)，包括日志分析、檢測(cè)異常和提取入侵指標(biāo) (IOC)。這些腳本還可用于對(duì)惡意代碼（惡意軟件）進(jìn)行逆向工程，或自動(dòng)掃描系統(tǒng)以查找入侵跡象。

對(duì)于紅隊(duì)（包括滲透測(cè)試人員和道德黑客）而言，PowerShell 腳本可以自動(dòng)執(zhí)行諸如系統(tǒng)枚舉、執(zhí)行遠(yuǎn)程命令以及編寫(xiě)混淆腳本以繞過(guò)防御等任務(wù)。它與所有類(lèi)型的系統(tǒng)深度集成，使其成為模擬攻擊和測(cè)試系統(tǒng)抵御現(xiàn)實(shí)威脅能力的強(qiáng)大工具。

在網(wǎng)絡(luò)安全領(lǐng)域，系統(tǒng)管理員可以利用 PowerShell 腳本自動(dòng)執(zhí)行完整性檢查、管理系統(tǒng)配置和保護(hù)網(wǎng)絡(luò)，尤其是在遠(yuǎn)程或大規(guī)模環(huán)境中。PowerShell 腳本可用于執(zhí)行安全策略、監(jiān)控系統(tǒng)健康狀況并自動(dòng)響應(yīng)安全事件，從而增強(qiáng)整體安全態(tài)勢(shì)。

無(wú)論是用于防御還是進(jìn)攻，PowerShell 腳本都是網(wǎng)絡(luò)安全工具包中一項(xiàng)必不可少的功能。

在結(jié)束關(guān)于腳本的任務(wù)之前，我們不得不提一下 Invoke-Command cmdlet。

Invoke-Command 是在遠(yuǎn)程系統(tǒng)上執(zhí)行命令的關(guān)鍵工具，因此它對(duì)于系統(tǒng)管理員、安全工程師和滲透測(cè)試人員來(lái)說(shuō)至關(guān)重要。Invoke-Command 可以實(shí)現(xiàn)高效的遠(yuǎn)程管理，并與腳本結(jié)合，實(shí)現(xiàn)跨多臺(tái)機(jī)器的任務(wù)自動(dòng)化。它還可以用于滲透測(cè)試人員（或攻擊者）在交戰(zhàn)過(guò)程中在目標(biāo)系統(tǒng)上執(zhí)行有效載荷或命令。

讓我們通過(guò) Get-Help 的“示例”頁(yè)面來(lái)了解這個(gè)強(qiáng)大 cmdlet 的一些使用示例：

           
PS C:\Users\captain> Get-Help Invoke-Command -examples

NAME
    Invoke-Command
    
SYNOPSIS
    Runs commands on local and remote computers.
    
    ------------- Example 1: Run a script on a server -------------
    
    Invoke-Command -FilePath c:\scripts\test.ps1 -ComputerName Server01
    
    The FilePath parameter specifies a script that is located on the local computer. The script runs on the remote computer and the results are returned to the local computer.

    --------- Example 2: Run a command on a remote server ---------

    Invoke-Command -ComputerName Server01 -Credential Domain01\User01 -ScriptBlock { Get-Culture }

    The ComputerName parameter specifies the name of the remote computer. The Credential parameter is used to run the command in the security context of Domain01\User01, a user who has permission to run commands. The ScriptBlock parameter specifies the command to be run on the remote computer.

    In response, PowerShell requests the password and an authentication method for the User01 account. It then runs the command on the Server01 computer and returns the result.
[...]

        

Get-Help“示例”頁(yè)面提供的以及上文所述的前兩個(gè)示例足以展現(xiàn) Invoke-Command cmdlet 的簡(jiǎn)潔性和強(qiáng)大功能。

第一個(gè)示例展示了如何將該 cmdlet 與任何自定義腳本輕松結(jié)合，從而在遠(yuǎn)程計(jì)算機(jī)上自動(dòng)執(zhí)行任務(wù)。

第二個(gè)示例表明，我們無(wú)需了解如何編寫(xiě)腳本即可充分利用 Invoke-Command 的強(qiáng)大功能。事實(shí)上，通過(guò)在 cmdlet 的語(yǔ)法后附加 -ScriptBlock { ... } 參數(shù)，我們就可以在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行任何命令（或命令序列）。其結(jié)果與我們?cè)谶h(yuǎn)程計(jì)算機(jī)上的本地 PowerShell 會(huì)話中鍵入命令的效果相同。

在名為“RoyalFortune”的遠(yuǎn)程計(jì)算機(jī)上執(zhí)行 Get-Service 命令的語(yǔ)法(未授權(quán)，無(wú)賬號(hào)密碼)：

Invoke-Command -ComputerName RoyalFortune -ScriptBlock {Get-Service}

Task 9 Conclusion

干得好，伙計(jì)們！你們成功駕馭了 PowerShell 的詭異水域，在 TheBlackPearl 上發(fā)現(xiàn)了隱藏的寶藏和難以捉摸的服務(wù)。

掌握了這些工具，你們就能輕松探索任何 Windows 系統(tǒng)中戒備最森嚴(yán)的角落。

記住，真正的海盜永不停歇地尋寶——所以，繼續(xù)磨練你的技能吧，誰(shuí)知道在下一次冒險(xiǎn)中你會(huì)發(fā)現(xiàn)什么寶藏呢？在此之前，祝你的 cmdlet 鋒利，腳本運(yùn)行流暢。一路順風(fēng)，狩獵愉快！

要繼續(xù)提升你的命令行技能，請(qǐng)前往本模塊的下一個(gè)環(huán)節(jié)“Linux 命令行”教室。
https://tryhackme.com/r/room/linuxshells