powershell_ise 无文件攻击
Windows PowerShell ISE 是什么
最近因为项目的需要,开始接触到了 Windows PowerShell ISE 这个软件。
其实最开始的理解就是 PowerShell 的升级版,真正用过 PowerShell 的童鞋对在 PowerShell 中进行编辑命令应该是非常头痛的。
Windows PowerShell ISE 可以理解为在一个记事本中增加了 PowerShell 的功能,可以在记事本中进行的操作在 PowerShell ISE 基本上都可以进行。==>差不多就是一个IDE了。
最最方便的应该就是命令行选择和删除字符后运行了。
PowerShell ISE 是什么
Windows PowerShell 集成脚本环境 (ISE) 是 Windows PowerShell 的主机应用程序。在 Windows PowerShell ISE 中,可以在单一 Windows 图形用户界面中运行命令以及编写、测试和调试脚本,该用户界面具有多行编辑、Tab 补齐、语法着色、选择性执行、上下文相关帮助等功能,而且还支持从右到左书写语言。
此主机应用程序最多还可以包括八个会话。
可以自定义 Windows PowerShell ISE 的外观。Windows PowerShell ISE 还有自己的 Windows PowerShell 配置文件,您可以在其中存储在 Windows PowerShell ISE 中使用的函数、别名、变量和命令。
Windows PowerShell ISE
Windows PowerShell 集成脚本环境 (ISE) 是 Windows PowerShell 的主机应用程序。 在 ISE 中,可以在单个基于 Windows 的图形用户界面中运行命令并编写、测试和调试脚本。 ISE 提供多行编辑、Tab 自动补全、语法颜色设置、选择性执行、上下文相关帮助以及对从右到左语言的支持。 将菜单项和键盘快捷方式映射到许多将会在 Windows PowerShell 控制台中执行的相同任务。 例如,在 ISE 中调试脚本时,可以右键单击编辑窗格中的代码行来设置断点。
支持
ISE 先随 Windows PowerShell V2 一起引入,然后随 PowerShell V3 一起重新设计。 包括 Windows PowerShell V5.1 在内的所有支持的 Windows PowerShell 版本都支持 ISE。
备注
PowerShell ISE 不再处于主动功能开发状态。 作为 Windows 的随附组件,它仍会获得安全性和高优先级服务修补程序的官方支持。 目前没有从 Windows 中删除 ISE 的计划。
PowerShell v6 及更高版本中不支持 ISE。 寻求替换 ISE 的用户应使用 Visual Studio Code 和 PowerShell 扩展。
关键功能
Windows PowerShell ISE 中的关键功能包括:
- 多行编辑:若要在“命令”窗格中的当前行下插入一个空行,请按 SHIFT+ENTER。
- 选择性执行:要运行部分脚本,请选择要运行的文本,然后单击“运行脚本”按钮 。 或者,按 F5。
- 上下文相关帮助:键入
Invoke-Item,然后按 F1。 帮助文件将打开到Invoke-Itemcmdlet 的文章。
Windows PowerShell ISE 允许你自定义其外观的某些方面。 它还具有其自己的 Windows PowerShell 配置文件脚本。
启动 Windows PowerShell ISE
单击“开始” ,选择“Windows PowerShell” ,然后单击“Windows PowerShell ISE” 。 或者,可以在任何命令 shell 或“运行”框中键入 powershell_ise.exe。
一些滥用例子:
https://any.run/report/bbd10814d6482d51fd896675abb569dc18f3d341c4d90d7bdc2fc2dd1e9aa9ed/490ae5b4-049e-4f77-80cb-85a58dee3ea9
==》运行临时脚本:"C:\Windows\System32\WindowsPowerShell\v1.0\powershell_ise.exe" "C:\Users\admin\AppData\Local\Temp\f41eed47fe7bdea017f2197c991eff8f25a1c741.ps1"
