PowerShell配置文件：持久性机制详解

“Window权限维持（十一）：PowerShell配置文件1” 在Windows环境中，PowerShell配置文件是一个重要的自定义工具，允许系统管理员和用户根据个人需求调整PowerShell的启动行为。这个配置文件实质上是一个PowerShell脚本，类似于传统的登录脚本，常用于设置网络驱动器映射、打印机配置或者系统信息的收集。对于恶意攻击者来说，利用PowerShell配置文件可以实现持久性的恶意活动，因为每次启动PowerShell时，这些脚本都会被执行。 PowerShell配置文件存储在每个用户的“WindowsPowerShell”文件夹中，这个文件夹默认是隐藏的。攻击者可以通过检查`$Profile`变量来判断当前用户是否已有配置文件，如果没有，他们可以使用`New-Item` cmdlet创建一个新的配置文件。例如，以下命令会为当前用户创建一个名为“Microsoft.PowerShell_profile.ps1”的配置文件： ```powershell New-Item -Path $profile -Type File -Force ``` 然后，攻击者可以将任意命令或脚本写入这个配置文件，以在下次PowerShell启动时执行。例如，下面的命令会在配置文件中添加启动“C:\tmp\pentestlab.exe”的命令： ```powershell $string='Start-Process "C:\tmp\pentestlab.exe"' $string | Out-File -FilePath "C:\Users\pentestlab\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1" -Append ``` 这种持久性机制的一个变种是通过批处理文件（.bat）来执行。比如，Empire工具可以生成一个带有自我删除功能的批处理文件（launcher.bat），当PowerShell启动时，`Invoke-Item` cmdlet会执行这个批处理文件，而不会创建新的进程，使得攻击更加隐蔽。 ```powershell echo $profile Test-Path $profile New-Item -Path $profile -Type File -Force ``` 结合以上内容，我们可以看到PowerShell配置文件在权限维持中的作用，以及如何通过修改这些文件来执行恶意代码。由于它们在用户上下文中运行，攻击者能够以用户权限执行各种操作，从而达到持久控制系统的意图。因此，保护好这些配置文件不被篡改对于系统的安全至关重要。