Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。powershell一直都是内网渗透的大热门,微软是真正的在推行PowerShell,包括Office等更多自家软件,底层都是调用PowerShell来实现,近年来利用powershell来搞内网渗透进行横向或免杀的热度一直居高不下。
/
这次我将结合前人的各种骚操作,以及个人的不断试错,所想所思,来写一篇关于powershell来进行免杀,达到CS多种姿势绕过AV上线的干货文章,并且本文章尽力内容友好易懂,没接触过powershell的小白也可以实现免杀上线,拥有自己的一些bypass小技巧
。
01
实验环境:
一台WIN7专业版 360全家桶 火绒最新版本
02
powershell执行策略问题:
首先我们要来了解一下powershell执行策略这一块的基础问题:
powershell有六种执行策略:
Unrestricted 权限最高,可以不受限制执行任意脚本
Restricted 默认策略,不允许任意脚本的执行
AllSigned 所有脚本必须经过签名运行
RemoteSigned 本地脚本无限制,但是对来自网络的脚本必须经过签名
Bypass 没有任何限制和提示
Undefined 没有设置脚本的策略
那么windows默认的执行策略是Restricted,他是不允许任意脚本的执行
我们来查查当前目标机器的执行策略:
进入powershell查看执行策略 :Get-ExecutionPolicy
可以看到,此时我们运行保存好的tubai.ps1文件,当前策略是默认不允许执行脚本的
我们可以用管理员权限来修改默认执行策略,来达到执行我们ps1脚本的效果
Set-ExecutionPolicy Unrestricted(权限最高,可以不受限制执行任意脚本)设置执行策略
此时执行便不在报错,成功执行我们的脚本