PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)

最新推荐文章于 2024-06-02 21:01:15 发布
最新推荐文章于 2024-06-02 21:01:15 发布
阅读量2.2k 收藏 21
点赞数 4
分类专栏: 红队的自我修养 文章标签: 网络 网络安全 安全 web安全 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/128589654
版权

Invoke-Obfuscation

简介

Invoke-Obfuscation工具下载地址: https://github.com/danielbohannon/Invoke-Obfuscation
Invoke-Obfuscation是一款PowerShell混淆工具,可以将PowerShell脚本加密,使得它的检测和分析变得更加困难。该工具包含多种加密方法,可以单独使用也可以结合使用,以提高混淆的效果。Invoke-Obfuscation还有多个选项可以选择,如TOKEN、AST、STRING、ENCODING、COMPRESS和LAUNCHER,可以帮助你更好地混淆脚本


简单演示

1.CS生成ps木马

打开Cobalt Strike, 点击攻击>生成后门->Payload Generator

image-20230106191819966


选择相应的监听, 生成powershell木马

image-20230106191957575


2.导入模块并加载

进入invoke-Obsfuscation文件夹并打开powershell, 执行如下命令导入Invoke-Obfuscation模块

Import-Module .\Invoke-Obfuscation.psd1

执行如下命令加载模块

Invoke-Obfuscation

image-20230106192850710


随后进入工具命令行界面, 如下图所示, 该工具支持六种加密方式:

  • TOKEN: 将脚本转换为一个或多个PowerShell解析器令牌的序列

  • AST: 将脚本转换为抽象语法树

  • STRING: 混淆脚本中的字符串,使得脚本的意图变得模糊不清

  • ENCONDING: 将脚本转换为ASCII、Unicode或Base64编码

  • COMPRESS: 将脚本压缩,使得脚本的大小变小,从而使得脚本的传输和存储更加方便

  • LAUNCHER: 生成一个启动器,该启动器可以在目标系统上执行混淆后的脚本

1


3.输入要加密的脚本路径

set scriptpath C:\Users\hacker\Desktop\payload.ps1

image-20230106220244166


4.加密脚本

此次我选择编码加密, 输入encoding, 随后出现8种编码加密方式, 这里我简单介绍下常用的五种加密

  1. ASCII编码
  2. HEX(16进制)编码
  3. octal(8进制)编码
  4. Binary(2进制)编码
  5. AES算法加密(最常用)

image-20230106220433823


此处我选择5, 即AES算法加密

1


输入back返回上级目录, 然后输入string对脚本文件进行字符串混肴, 有三种字符串混肴方法, 此处我输入2选择了第二种

image-20230106222848097


5.查看加密选项

可以看到加密前和加密后的脚本内容对比, 以及采用了何种加密方法和完整的加密命令

show options

image-20230106223901101


6.输出脚本

输出加密后的脚本文件至工具所在目录

out test.ps1

image-20230106221539461


杀软测试

火绒

使用火绒静态扫描脚本文件, 没有发现威胁

image-20230106223945754


cmd命令行输入如下命令执行脚本, 火绒没有报毒, 成功过掉火绒动态扫描

PowerShell.exe -ExecutionPolicy Bypass -File .\test.ps1

至于为何要加上-ExecutionPolicy Bypass参数, 这是因为在默认情况下, powershell的安全策略规定不允许运行命令和文件, 但是可以通过添加此参数来绕过任意一个安全保护规则, 在真实的渗透环境中经常用到此参数来执行powershell脚本

image-20230106224136701


WindowDefender

成功过掉WindowDefender的静态扫描

image-20230106224957853


但是过不了WindowDefender的动态扫描

image-20230106225055133

Henry404s
关注
  • 4
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Clickhouse—实用工具obfuscator
10-16 2万+
obfuscator 可以在一定程度上抹去数据的真实性,但是保留数据的很多特性,以供我们完成一些测试工作,当然我们也可以在其他的一些场景下借助obfuscator完成数据安全的工作。
Invoke-Obfuscation混淆免杀过360和火绒
crowsec
06-01 2037
微信公众号:乌鸦安全 扫取二维码获取 目录 1. 模块使用 2. msfvenom下msf上线 2.1 360 2.2 Windows defender 2.3 火绒 2.4 总结 3. 混淆大法 4. 第一种混淆 1 4.1 360 4.2 windows Defender 4.3 火绒 4.4 总结 5. 第2种混淆 2 5.1 火绒 5.2 360 5.3 Windows Defender 5.4 总结 6. 第三种方法 3 6.1 360 6.2 火.
Invoke-Obfuscation:一款功能强大的PowerShell代码混淆工具
qq_53058639的博客
08-09 262
很多网络攻击者和商业化恶意软件正在使用一些非常基础的代码混淆技术,并尝试从powershell.exe的命令行参数中隐藏大部分命令。因此,Invoke-Obfuscation的使用非常简单,因为它支持以可视化的形式来使用和研究针对PowerShell代码和命令的混淆技术。Invoke-Obfuscation是一款功能强大的PowerShell代码混淆工具,该工具兼容PowerShell。v2.0-v5.0语法上可能存在的命令混淆问题,以便提升研究人员和反病毒产品的检测能力。本项目的开发与发布遵循[
针对cs生成powershell木马免杀火绒
WenHeMian_的博客
06-02 353
第二种,Win-PS2EXE,对于ps2exe是打包python专门给win使用的,在其他篇章中会用此来打包python的免杀脚本。心跳0s, byassUac提权成功,但是要谨慎提权!对于函数名和变量名进行混淆,不要用原始名,因为都被人用烂了,360云脑,windows df直接杀。第一种Lodan,玩内网的肯定都很熟悉,这东西其实在cs插件Lodan的目录里面就有LodanGUI。注意我这里是x64的木马,与x86不同的就是代码结构,免杀手法相同。火绒这个东西,只要一开始不报毒,那以后基本很难被杀了。
Invoke-Obfuscation(psh代码混淆)
不知名白帽的博客
08-11 794
Invoke-Obfuscation(psh代码混淆)
渗透测试-window反弹shell
lza20001103的博客
05-11 4303
window反弹shell
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
本文探讨的技术涉及两个关键工具:Invoke-Obfuscation-Bypass 和 PS2EXE,它们是针对PowerShell脚本进行混淆和转换为可执行文件(exe)的方法,以规避主流杀毒软件的检测。 Invoke-Obfuscation 是一个 PowerShell ...
invoke-atomicredteam:Invoke-AtomicRedTeam是一个PowerShell模块,用于执行[atomics文件夹](https
04-30
Invoke-AtomicRedTeam是一个PowerShell模块,用于执行Red Canary的Atomic Red Team项目的中定义的测试。 “ atomics文件夹”包含定义的每种技术的文件夹。 在每个“ T#”文件夹中,您都会找到一个yaml文件,该文件...
最新版: PowerShell-7.4.3-win-x64.msi
最新发布
06-20
PowerShell-7.4.3-win-x64.msi 安装 PowerShell 是微软开发的一种命令行 shell 和脚本语言,它设计用于系统管理任务和自动化。相比传统的命令提示符(CMD),PowerShell 提供了更强大、灵活的功能集,特别是对于...
PowerShell中使用curl(Invoke-WebRequest)的方法教程
01-10
PowerShell能干什么呢?PowerShell首先是个Shell,定义好了一堆命令与操作系统,特别是与文件系统交互,能够启动应用程序,甚至操纵应用程序;第二,PowerShell允许将几个命令组合起来放到文件里执行,实现文件级的...
Invoke-WCMDump结合powershell进行密码获取
03-26
从Credential Manager导出Windows凭据的Powershell脚本 https://github.com/peewpw/Invoke-WCMDump PS>Import-Module .\Invoke-WCMDump.ps1 PS>Invoke-WCMDump powershell.exe "IEX (New-Object Net.WebClient)....
powershell免杀思路分析(过某60和某绒)
技术超强的网络安全平台
05-07 2054
文章首发于:https://forum.butian.net/share/936 写在前面 powershell做为微软windows系统自带的软件包,具有十分强大的功能,Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的功能,在IT/系统管理员间得到普及。总的特点来说就是:方便、有效和隐蔽。举例来说,利用这些合法工具可以让威胁活动混在正常的网络流量或IT/系统管理工作内,也让这些恶意威胁能够留下较少的痕迹,使得侦测更加困难
Powershell免杀
mingyqf的博客
05-11 2414
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式
PowerShell攻击指南
鸡蛋炒鸡蛋
03-03 3939
什么是powershell?可以简单理解为cmd.exe的扩展。powershell具有灵活性和功能化管理windows系统的能力,powershell脚本文件后缀名是.ps1(数字1)Windows PowerShell是一种命令行外壳程序和脚本环境,它内置在每个受支持的windows版本中,使命令行用户和脚本编写者可以利用.NET Framework的强大功能。
使用msfvenom免杀火绒
2301_76718200的博客
11-11 851
本篇文章将会用msfvenom生成一个windows下可执行木马exe的文件,用kali监听,靶机win。2、再使用msfvenom生成一个捆绑可以被windows执行的exe木马文件。3、把刚刚生成的exe木马文件传输到我们的win11物理机上。1、首先到火绒官网上下载个火绒安装包后放到kali中。#修改成我们之前生成木马时使用的payload。前提把杀软关闭要不然会杀掉,没有做免杀木马。靶机,启动火绒点击我们编译过的木马程序。点击后就连接上我们的kali攻击机了。#设置kali的IP地址为监听地址。
如何关闭火绒
weixin_35755562的博客
12-29 5761
要关闭火绒,您可以执行以下步骤: 打开火绒的主界面。 在主界面上,找到“状态”栏。 在“状态”栏中,找到“火绒保护”。 点击“火绒保护”旁边的按钮,可以在“开启”和“关闭”之间切换。 当您看到“火绒保护”的状态变为“关闭”时,火绒就已经关闭了。 注意:关闭火绒的保护功能可能会使您的计算机更容易受到恶意软件的攻击。因此,建议您在必要时才关闭火绒。 ...
学习记录:内网穿透+ShellCode+C++语言二次编译 免杀绕过火绒 渗透Win10提取密码
qq_60709081的博客
06-24 1521
攻击机:Kali (虚拟机)靶机: Windows 10 22H2 版本 10.0.19045(物理机)工具:MSF,VS,花生壳通过C++二次编译制作免杀木马,绕过火绒检测,实现对靶机的控制,windows本地提权,获取并破解用户密码。今天又进步了一点点,之后打算去打基础了,一步一步来。但毕竟做任何事都要有些动力的,做一个ScriptsKids反倒可以增加自己的兴趣和动力呢。🎉✨免责声明:本文仅作学习、深研而用,若有犯罪行为,一切后果自负,与本文作者无关。
如何下载Invoke-Obfuscation
04-06
1. 打开GitHub页面:https://github.com/danielbohannon/Invoke-Obfuscation 2. 点击“Clone or download”按钮,选择“Download ZIP”选项,将压缩包下载到本地。 3. 解压缩下载的压缩包。 4. 在解压缩后的文件夹中找到“Invoke-Obfuscation.psd1”文件,右键点击该文件,选择“以管理员身份运行PowerShell”。 5. 在PowerShell窗口中输入“Import-Module .\Invoke-Obfuscation.psd1”,按回车键进行加载。 6. 下载完成,可以开始使用Invoke-Obfuscation

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值