PoisonHandler:在红队练习中可以使用的横向运动技巧 源码

毒物处理程序 在红队练习中可以使用的横向运动技巧。 Execute-PoisonHandler.ps1 该技术是远程注册协议处理程序并调用它以在远程主机上执行任意代码。这个想法是简单地调用start handler://来执行命令并逃避检测。 此cmdlet创建一个协议处理程序,该处理程序将调用您的有效负载。然后使用explorer.exe通过WMI执行它。 将要执行的命令如下所示: cmd.exe /c start ms-browser:// 其中ms-browser是您注册的自定义处理程序,将执行您指定的有效负载。 缺省处理程序名称是ms-browser但可以使用-Handler开关进行设置 该处理程序也可以使用以下命令通过rundll32执行: rundll32 url.dll,FileProtocolHandler Usage: module-import .\Execute