.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x00 前言pypsrp是用於PowerShell遠程協議(PSRP)服務的Python客戶端。我在研究過程中,發現在Exchange Powershell下存在一些輸出的問題,本文將要介紹研究過程,給出解決方法。
0x01 簡介Exchange PowerShell Remoting
pypsrp的使用
pypsrp存在的輸出問題
解決方法
0x02 Exchange PowerShell Remoting參考資料:
https://docs.microsoft.com/en-us/powershell/module/exchange/?view=exchange-ps
默認設置下,需要注意以下問題:
所有域用戶都可以連接Exchange PowerShell
需要在域內主機上發起連接
連接地址需要使用FQDN,不支持IP
通過Powershell連接Exchange PowerShell的命令示例:
通過pypsrp連接Exchange PowerShell的命令示例:
如果想要加入調試信息,可以添加以下代碼:
0x03 pypsrp存在的輸出問題我們在Exchange PowerShell下執行命令的完整返回結果如下圖
但是通過pypsrp連接Exchange PowerShell執行命令時,輸出結果不完整,無法獲得命令的完整信息,如下圖
0x04 解決方法1.定位問題
通過查看源碼,定位到代碼位置:https://github.com/jborean93/pypsrp/blob/704f6cc49c8334f71b12ce10673964f037656782/src/pypsrp/messages.py#L207
我們可以在這裡添加輸出message_data的代碼,代碼示例:
返回結果:
在調用serializer.deserialize(message_data)提取輸出結果時,這裡只提取到了一組數據,忽略了完整的結果
經過簡單的分析,發現標籤內包含完整的輸出結果,所以這裡可先通過字符串截取提取出標籤內的數據,示例代碼:
進一步分析提取出來的數據,發現每個標籤分別對應一項屬性,為了提高效率,這裡使用xml.dom.minidom解析成xml格式並提取元素,示例代碼:
經測試,以上代碼能夠輸出完整的結果
按照pypsrp的代碼格式,得出優化pypsrp輸出結果的代碼:
使用修改過的pypsrp連接Exchange PowerShell執行命令時,能夠返回完整的輸出結果,如下圖
經測試,在測試ProxyShell的過程中,使用修改過的pypsrp也能得到完整的輸出結果
補充:
如果使用原始版本pypsrp測試ProxyShell,可通過解析代理的返回結果實現,其中需要注意的是在作Base64解密時,由於存在不可見字符,無法使用.decode('utf-8')解碼,可以換用.decode('ISO-8859-1'),還需要考慮數據被分段的問題,實現的示例代碼如下:
0x05 小結本文介紹了通過pypsrp連接Exchange PowerShell執行命令返回完整輸出結果的解決方法。