PowerShell 脚本中的密码保存的方法
引言
笔者在《PowerShell 远程执行任务》一文中提到了在脚本中使用用户名和密码的基本方式:
$Username = 'xxxx' $Password = 'yyyy' $Pass = ConvertTo-SecureString $Password -AsPlainText -Force $Cred = New-Object System.Management.Automation.PSCredential -ArgumentList $Username,$Pass
上面的代码仅仅是能工作而已,因为在稍有安全性要求的环境中都不会允许明文密码的出现。本文将介绍在 PowerShell 脚本中如何以比较安全的方式使用密码。
把密码转为 SecureString
先来了解下面两个概念:
SecureString Encrypted Standard String
SecureString 是 .net 中的一个类型,它是为了解决安全性而设计出来的一种特殊的字符串类型。比如你使用一个密码字符串创建 SecureString 对象,你无法通过这个对象还原出原来的密码字符串,但是却可以把 SecureString 对象当做密码使用。
Encrypted Standard String 是指经过加密后的一个字符串。
ConvertTo-SecureString 命令可以通过明文的字符串创建 SecureString 对象:
$SecurePwd = ConvertTo-SecureString "123456" -AsPlainText -Force
然后再使用 $SecurePwd 创建 Credential 等身份信息。这种方式就是笔者在引言部分使用的方法,这是不安全的,因为任何能够查看脚本的人都能从中找出密码。
把 SecureString 转为加密字符串
通过 ConvertFrom-SecureString 命令,我们可以把一个 SecureString 对象转换成一个 Encrypted Standard String(加密后的一个字符串),然后保存到文件中。在创建 Credential 时直接使用前面保存的文件,从而避免明文密码在系统中出现。
$SecurePwd = ConvertTo-SecureString "123456" -AsPlainText -Force ConvertFrom-SecureString $SecurePwd
上图显示 ConvertFrom-SecureString 命令生成的加密字符串,我们把它保存到文本文件中:
ConvertFrom-SecureString $SecurePwd | Out-File "D:\pwd.txt"
看看内容:
好了,接下来就可以直接使用 pwd.txt 文件了。
一种看起来比较正常,也很安全的推荐用法:
Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString | Out-File "D:\pwd.txt"
执行这行命令,会要求你输入密码:
此处使用键盘输入代替了明文的密码字符串。
介绍了 ConvertFrom-SecureString 命令的用法后就可以介绍 ConvertTo-SecureString 命令的另外一个用法,把加密字符串转换成 SecureString 对象:
$f = "D:\pwd.txt" $SecurePwd = Get-Content $f | ConvertTo-SecureString $SecurePwd.Length
这次我们把 pwd.txt 文件中的内容通过 ConvertTo-SecureString 命令重新生成 SecureString 对象。最后通过 Length 属性检查了密码的长度。
下图概括了本文中主要术语和命令的关系:
应用密码的正确姿势
下面是在脚本中使用密码的建议做法:
# 生成并保存密码文件
Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString | Out-File "D:\pwd.txt"
# 使用密码文件创建 Credential 信息
$f = "D:\pwd.txt"
$Cred = New-Object -TypeName System.Management.Automation.PSCredential `
-ArgumentList UserName, (Get-Content $f | ConvertTo-SecureString)
这种用法也有不足之处,就是只能在生成 pwd.txt 文件的机器上使用这个文件。如果把它复制到其它的机器上,执行 Get-Content $f | ConvertTo-SecureString 时就会报错:
这是一种安全性限制,如果我们想在其它机器上使用 pwd.txt,就得了解些高级的用法!
高级玩法
ConvertTo-SecureString 和 ConvertFrom-SecureString 命令都支持选项 -Key。在处理密码时通过使用 Key 选项可以提供额外的安全性,并且允许在不同的环境中使用密码文件。
先生成 32 位的 Key 并保存在文件 AES.key 中:
$keyFile = "D:\aes.key" $key = New-Object Byte[] 32 [Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($key) $key | out-file $keyFile
使用 Key 生成并保存密码文件:
Read-Host "Enter Password" -AsSecureString | ConvertFrom-SecureString -key $key | Out-File "D:\pwd.txt"
使用密码文件创建和 Key 文件创建 Credential 信息:
$userName = "YourUserName"
$passwdFile = "D:\pwd.txt"
$keyFile = "D:\aes.key"
$key = Get-Content $keyFile
$Cred = New-Object -TypeName System.Management.Automation.PSCredential `
-ArgumentList $userName, (Get-Content $passwdFile | ConvertTo-SecureString -Key $key)
通过这种方法,把 pwd.txt 和 aes.key 文件拷贝到其它的机器上也是可以工作的。但是我们需要额外维护一个 key 文件的安全,这一般通过设置文件的访问权限就可以了。
总结
PowerShell 提供的安全选项使我们可以避免在脚本中直接使用明文的密码,把密码加密后保存在文件中的好处是可以通过文件的权限管理进行安全性控制。而使用 Key 选项则可以对上述用例进行扩展,从而支持更多的使用场景。但是带来的不便是我们需要另外维护一个机密的 Key 文件。从这点也可以看出,所谓的安全性其实是由安全机制和用户一起来保证的!无论多么安全的机制,在用户泄露了认证信息的情况下都是没有意义的。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。
相关推荐
-
PowerShell批量修改AD用户密码属性的代码
需求:非常普通的一个需求,就是给AD用户修改密码,但是问题是量太大了.所以写了个脚本 cls $pass = ConvertTo-SecureString -AsPlainText 12333333344.abc -Force Import-Csv -Path d:\pp.csv | foreach { Get-ADUser -Identity $_.name|Set-ADAccountPassword -Reset -NewPassword $pass Get-ADUser -Identity
-
PowerShell脚本 随机密码生成器(ps随机密码生成器)
脚本作用:产生随机密码.每密码字符个数,密码数量,存盘位置等可以自定义. 脚本用法: 脚本采用了硬编码,所以你需要打开脚本,修改如下变量: $生成密码总个数 = 1000 $每个密码位数 = 12 $存盘目录 = 'e:\脚本ps\log_ps\' $大文件所在盘符 = 'f:\' 并保存,然后运行脚本,脚本运行的较慢,可以缩小powershell窗口,n分钟后去[$存盘目录]收取生成的密码 文件[小写加数字加特殊符号密码.txt],[大小写加数字密码.txt],[小写加数字密码.txt]. 提
-
PowerShell小技巧之获取Windows系统密码Hash
当你拿到了系统控制权之后如何才能更长的时间内控制已经拿到这台机器呢?作为白帽子,已经在对手防线上撕开一个口子,如果你需要进一步扩大战果,你首先需要做的就是潜伏下来,收集更多的信息便于你判断,便于有更大的收获.用什么方法才能有尽可能高的权限,同时能更有效的隐藏自己,是留webshell,留后门,种木马还是Rootkit?webshell,哪怕是一句话木马都很容易被管理员清除,放了木马,也容易被有经验的管理员查出,不管是早期自己创建进程,进程被干掉就完了,还是注入进程的木马,或者是以服务自启动的木马
-
Powershell生成Windows密码算法简单学习
说明: 1.密码一共8位. 2.由2个数字,2个大写字符,2个小写字符,2个特殊字符组成. 3.字符的次序是随机组成的. 复制代码 代码如下: function CreatePassword { $figure=1,2,3,4,5,6,7,8,9; $capital="Q","W","E","R","T","Y","U","I","O&q
-
Powershell读取PFX证书并输入密码的脚本分享
支持所有PS版本 当你使用Get-PfxCertificate读取PFX证书去签名你的脚本,但是它总是会已交互式方式提示用户去输入密码. 下面介绍怎么通过脚本去提交密码: 复制代码 代码如下: $PathToPfxFile = 'C:\temp\test.pfx' $PFXPassword = 'test' Add-Type -AssemblyName System.Security $cert = New-Object System.Security.Cryptography.X509Ce
-
PowerShell中实现混淆密码示例
适用于PowerShell 3.0或者更高版本, 尽管我们并不推荐将密码硬编码在脚本文件中,但是仍旧有一些场景非如此不可.与将密码以一种纯文本的方式硬编码相比,我们还可以稍微花点心思,把密码混淆一下.虽然混淆密码是一种非常低级的保护方式,但是对于不懂PowerShell的人来讲,还是比较神秘的. 接下来的脚本会向用户询问用户名和密码,然后删除通过混淆脚本进行处理,产生用户凭据对象. 当你运行了下面的脚本以后,用户凭据已经被保存在$cred.接下来你几乎可以在任何带有–Credential参数的命
-
PowerShell生成随机密码的方法
有的时候,小编需要一个随便密码.写asp的时候,用asp生成,写c#的时候用c#生成.PowerShell中可以使用c#,所以,可以把c#中生成随机密码方法套用给PowerShell. 小编以前看System.Web.Security命名空间的时候,发现下面有一个Membership类,下面有一个静态方法GeneratePassword(),使用它可以生成随机密码. 参考MSDN网址:http://msdn.microsoft.com/en-us/library/system.web.secur
-
PowerShell 脚本中的密码保存的方法
引言 笔者在<PowerShell 远程执行任务>一文中提到了在脚本中使用用户名和密码的基本方式: $Username = 'xxxx' $Password = 'yyyy' $Pass = ConvertTo-SecureString $Password -AsPlainText -Force $Cred = New-Object System.Management.Automation.PSCredential -ArgumentList $Username,$Pass 上面的代码仅仅是能
-
Powershell脚本中包含文件资源的例子
Powershell3.0及以后版本. 如果你的脚本需要添加额外资源,比如文本中的服务器名.图片名等等,这时你需要考虑脚本的灵活性. 不要使用绝对路径去指派你的资源路径,在Powershell3.0中可以使用$PSScriptRoot替代你的脚本路径(不支持2.0) 复制代码 代码如下: $picture = "$PSScriptRoot\Resources\picture.png" Test-Path -Path $picture $data = "$PSScriptR
-
在Bash脚本中创建和使用数组方法总结
在Bash中定义一个数组 有两种方法可以在bash脚本中创建新数组.第一个是使用declare命令来定义一个Array.此命令将定义名为test_array的关联数组. $ declare -a test_array 还可以通过分配元素来创建数组. $ test_array=(apple orange lemon) 访问数组元素 与其他编程语言类似,bash数组元素可以使用索引号从0开始,然后从1.2.3-n开始访问.这也适用于索引号为数字的关联数组. $ echo ${test_array[0
-
Shell脚本中获取进程ID的方法
提问: 我想要知道运行中脚本子shell的进程id.我该如何在shell脚本中得到PID. 当我在执行shell脚本时,它会启动一个叫子shell的进程.作为主shell的子进程,子shell将shell脚本中的命令作为批处理运行(因此称为"批处理进程"). 在某些情况下,你也许想要知道运行中的子shell的PID.这个PID信息可以在不同的情况下使用.比如,你可以使用shell脚本的PID在/tmp下创建一个唯一的临时文件.有时侯脚本需要检测所有运行的进程,它可以从进程列表中排除自身
-
PowerShell脚本中控制Windows DNS服务的方法
PowerShell可以很方便的操作WMI,而DNS服务又提供了很好的WMI支持,所以,PowerShell可以通过操作WMI来操作Windows DNS服务. 1.获取DNS对象. 复制代码 代码如下: PS> $mydns = [WMIClass]"ROOT\MicrosoftDNS:MicrosoftDNS_ResourceRecord" 2.创建解析记录,使用CreateInstanceFromTextRepresentation方法. 复制代码 代码如下: PS>
-
Powershell脚本中使用条件断点实例
适用于PowerShell 3.0或者更高版本! PowerShell ISE只支持行断点:它可以让脚本运行至特定的调试行:你可以按F9来添加或者移除断点.但是需要保证该脚本已经保存过(默认的无标题文件可能就不行). 还有一种更加高级的方法:动态断点或者说是条件断点,其中没有特别限定某行,而是限定于一种特定的场景.比如下面的的示例脚本,每当PowerShell给指定的变量赋值时,就会击中断点停下来: 复制代码 代码如下: $bp = Set-PSBreakpoint -Variable a -M
-
PowerShell脚本实现创建桌面快捷方式的方法
本文介绍如何使用PowerShell将一个程序或文件,创建一个桌面快捷方式.在Windows系统里面,手工操作创建桌面快捷方式是很容易的,您只需要右键拖动文件到桌面,然后放开,在自动弹出的菜单中选择"在此创建快捷方式"即可完成,但要编程来实现这个效果就比较复杂了. 首先,我们要使用到COM组件,创建桌面快捷方式,最简单的办法是调用WScript.Shell这个COM组件.那么在PowerShell如何创建一个COM组件呢? 复制代码 代码如下: $shell = New-Object
-
bash脚本中if语句的使用方法
除了 "if,else" 形式之外,还有其它形式的 "if" 语句: 复制代码 代码如下: if [ condition ]then actionfi 只有当 condition 为真时,该语句才执行操作,否则不执行操作,并继续执行 "fi" 之后的任何行. 复制代码 代码如下: if [ condition ]then actionelif [ condition2 ]then action2...elif [ condition3 ]then
-
Shell脚本中让进程休眠的方法(sleep用法)
有时候写Shell的脚本,用于顺序执行一系列的程序. 有些程序在停止之后并没能立即退出,就例如有一个 tomcat 挂了,就算是用 kill -9 命令也还没瞬间就结束掉. 这么如果 shell 还没等其退出就接着执行下一行,这么就出乱子了. 刚知道了原来 shell 也能有 sleep 的参数. 复制代码 代码如下: sleep 1 睡眠1秒 sleep 1s 睡眠1秒 sleep 1m 睡眠1分 sleep 1h 睡眠1小时 用法如下,例如重启tomcat: 复制代码 代码如下: #!/bi
-
PHP脚本中include文件出错解决方法
1. 出现"未找到文件"类似的错误时候,检查include文件的位置是否正确,下面引用php手册页面的原话: Files for including are first looked in include_path relative to the current working directory and then in the directory of the current script. E.g. if your include_path is libraries, curren