官方的解释:
当括号用作文件名的一部分时,它可以用来劫持当前加载的文件,而不是 另一个恶意文件。 该文件必须包含一个匹配的char值,该值也可以在我们精心编制的文件名中找到。 要求是两个文件必须驻留在同一目录中。例如,如果文件名为[helloworldutoria1].ps1 与 名为1.ps1的文件将创建脚本劫持条件。注意,最后一个字母是数字“1”,而不是小写“l”。 我发现使用ps文件名还可以使用单个字母或数字字符作为脚本的目标 以及某些符号。 只有一个单引号的PowerShell脚本也可以工作,[pwned']。 Vuln ISE应用程序。 这些字符还可以完成工作: “$”“”“”“^”加上任何不区分大小写的字母a-z或数字0-9,[hello_world].ps1===>uu1.ps1 [您好]。PS1将改为执行此操作===>H.PS1 破折号“-”引发以下错误:“指定的通配符模式无效:[hello world].ps1”当 指向 另一个名为-.ps1的ps文件,似乎将其视为元字符。 [pw3d].ps1<==应执行 3.ps1<==实际执行 这利用了PowerShellISE和最终用户之间的信任。因此脚本调试本地或通过网络共享 显示“可信”代码 在ISE中运行。但是,当用户调试脚本时,会执行另一个脚本。 有趣的是,第二个脚本在执行时不会加载到PowerShellISE中,因此用户可能看不到 有什么不对的。 成功发生攻击需要用户交互,显然运行任何未知的PowerShell脚本都可以 危险。 同样,这种利用利用利用了“信任”的优势,用户可以看到和读取代码,并将其作为一切都信任它。 看起来很好,而且 然而…他们还是会被惩罚的!. 在Win7/10上成功测试
一、
二、执行[HelloWorldTutoria1].ps1
成功弹出计算机。
官方说明链接:https://seclists.org/bugtraq/2019/May/0
公众号回复:powershell 获取截图中的两个文件
最后说一句,这是个垃圾的0day。powershell需要权限才能运行。