原创: lengyi 合天智汇
今天给大家带来的是,无powershell运行powershell的一些姿势的分享,由于powershell的特性,使得它很受渗透测试爱好者的喜爱,当然也催生了像ASMI之类的防御手段,当然各类杀软也是把它纳入了查杀行列中,比如某套装,只要你调用PS就会查杀,着实恶心。
所以我们在与AV的对抗中也会想法设法的去bypass来执行PS,这里我便总结了几种无powershell执行powershell的姿势,希望能在实战的时候帮到大家。
下面是总结的列表:
- PowerLine
- PowerShdll
- Nopowershell
- SyncAppvPublishingServer
- 调用MSBuild.exe
- 调用cscript
下面的实验如无特殊说明,均在windows server 2008 sp2 + 360最新版下进行
PowerLine
PowerLine是一款由c#编写的工具,支持本地命令行调用和远程调用,可以在不直接调用PowerShell的情况下调用PowerShell脚本,优点如下:
- 自动识别win7、win10系统
- 使用方便,无需复杂的ide
- 自动xor编码
- 等
下载地址:
https://github.com/fullmetalcache/PowerLine
我们来看一下它的使用方法:
首先拉取项目到本地,然后运行build.bat文件
然后在UserConf.xml文件中填写你所需要调用的powershell脚本的地址,默认自带powerup、powerview、Mimikatz等,只要按照他给定的格式加入你的ps脚本地址即可
加入完成以后,运行PLBuilder.exe进行构建,构建过程中,360无提示
查看内置的脚本PowerLine.exe -ShowScripts
运行脚本,360无提示
但是在运行之后,360提示了报毒,并删掉了我的exe文件...一般AV只是检测PS发出的恶意请求,但由于在powerline中,请求是由powerline发出的,便绕过了一部分AV,但是缺点也是很明显,就是可扩展性太差,所有的功能依赖于配置文件...
PowerShdll
这个工具主要使用dll去运行powershell而不需要去连接powershell.exe,所以具有一定的bypassAV能力,当然它也可以在这几个程序下运行rundll32.exe, installutil.exe, regsvcs.exe, regasm.exe, regsvr32.exe或者使用作者给出的单独的exe进行执行
下载地址:
https://github.com/p3nt4/PowerShdll.git
exe版使用方法:
使用PowerShdll -i进入到交互模式,此时便获得了一个交互式的PS环境,可执行任意的powershell命令,整个过程360无拦截
下载mimikatz抓取密码,360全程无反应...