Боковое перемещение: PSRemoting

Powershell Remoting (PSRemoting) использует протокол WS-Management и службу WinRM. PSRemoting позволяет выполнять команды Powershell на удаленном хосте, а Microsoft рекомендует его как способ управления Windows. По умолчанию PSRemoting включен на серверах выше Windows Server 2012 R2. Для использования PSRemoting пользователь должен быть членом группы локальных администраторов или группы Remote Management Users.

При использовании BloodHound запрос Cypher поиска информации может быть следующим:

MATCH p=(u)-[r:CanPSRemote|MemberOf1*..]->(c:Computer) return p

PSRemoting имеет возможность выполнения команды Invoke-Command и создания интерактивной оболочки Enter-PSSession на удаленном хосте.

Выполнение команды Invoke-Command будет следующим:

Invoke-Command –ComputerName comp -ScriptBlock {hostname}

В Invoke-Command можно передавать выполнение скрипта, без необходимости загружать его на удаленный хост:

Invoke-Command -ComputerName comp -FilePath .\script.ps1

Также Invoke-Command можно использовать для выполнения на нескольких машинах, что удобно для получения полезной информации, например, проверить наличие дополнительных сетевых интерфейсов. А список машин передать через чтение содержимого файла.

Invoke-Command -ComputerName $(Get-Content comps.txt) -ScriptBlock {ipconfig}

Для создания интерактивной оболочки необходимо выполнить следующую команду:

Enter-PSSession -ComputerName comp

Чтобы выйти из интерактивной оболочки нужно выполнить команду exit

В PSRemoting есть возможность создавать сеансы и использовать их при необходимости. Получается некое подобие командного центра.

Сеанс создается с помощью cmdlet New-PSSession:

New-PSSession -ComputerName comp1

Посмотреть список существующих сеансов:

Get-PSSession

Чтобы использовать сеанс в Invoke-Command или Enter-PSSession нужно указать его id через параметр -id. Например:

Enter-PSSession -id 1

А для выполнения команды на всех машинах, где установлен сеанс, команда Invoke-Command будет иметь следующий вид:

Invoke-Command -Session (Get-PSSession) -ScriptBlock {hostname}

Сеансы могут быть использованы для передачи файлов. Для этого в cmdlet Copy-Item необходимо использовать параметры -toSession или -fromSession. В которые сессии указываются через Get-PSSession:

Copy-Item -ToSession (Get-PSSession -id 1) -Path .\file.txt -Destination "c:\temp\"

После завершения работ удалить все созданные сеансы с помощью следующей последовательности команд:

Get-PSSession | Disconnect-PSSession 

Обычно PSRemoting использует контекст текущего пользователя для подключения, но можно использовать параметр -Credential для передачи альтернативных учетных данных. Это полезно при подключении с не доменного хоста.

#Внутрянка #RedTeam #PurpleTeam

​Когда немножко промахнулся с размером саморезика...

DevOps threat matrix. Версия от Microsoft.