PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)

这篇具有很好参考价值的文章主要介绍了PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Invoke-Obfuscation

简介

Invoke-Obfuscation工具下载地址: https://github.com/danielbohannon/Invoke-Obfuscation
Invoke-Obfuscation是一款PowerShell混淆工具,可以将PowerShell脚本加密,使得它的检测和分析变得更加困难。该工具包含多种加密方法,可以单独使用也可以结合使用,以提高混淆的效果。Invoke-Obfuscation还有多个选项可以选择,如TOKEN、AST、STRING、ENCODING、COMPRESS和LAUNCHER,可以帮助你更好地混淆脚本


简单演示

1.CS生成ps木马

打开Cobalt Strike, 点击攻击>生成后门->Payload Generator

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


选择相应的监听, 生成powershell木马

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


2.导入模块并加载

进入invoke-Obsfuscation文件夹并打开powershell, 执行如下命令导入Invoke-Obfuscation模块

Import-Module .\Invoke-Obfuscation.psd1

执行如下命令加载模块

Invoke-Obfuscation

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


随后进入工具命令行界面, 如下图所示, 该工具支持六种加密方式:

  • TOKEN: 将脚本转换为一个或多个PowerShell解析器令牌的序列

  • AST: 将脚本转换为抽象语法树

  • STRING: 混淆脚本中的字符串,使得脚本的意图变得模糊不清

  • ENCONDING: 将脚本转换为ASCII、Unicode或Base64编码

  • COMPRESS: 将脚本压缩,使得脚本的大小变小,从而使得脚本的传输和存储更加方便

  • LAUNCHER: 生成一个启动器,该启动器可以在目标系统上执行混淆后的脚本

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


3.输入要加密的脚本路径

set scriptpath C:\Users\hacker\Desktop\payload.ps1

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


4.加密脚本

此次我选择编码加密, 输入encoding, 随后出现8种编码加密方式, 这里我简单介绍下常用的五种加密

  1. ASCII编码
  2. HEX(16进制)编码
  3. octal(8进制)编码
  4. Binary(2进制)编码
  5. AES算法加密(最常用)

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


此处我选择5, 即AES算法加密

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


输入back返回上级目录, 然后输入string对脚本文件进行字符串混肴, 有三种字符串混肴方法, 此处我输入2选择了第二种

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


5.查看加密选项

可以看到加密前和加密后的脚本内容对比, 以及采用了何种加密方法和完整的加密命令

show options

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


6.输出脚本

输出加密后的脚本文件至工具所在目录

out test.ps1

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


杀软测试

火绒

使用火绒静态扫描脚本文件, 没有发现威胁

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


cmd命令行输入如下命令执行脚本, 火绒没有报毒, 成功过掉火绒动态扫描

PowerShell.exe -ExecutionPolicy Bypass -File .\test.ps1

至于为何要加上-ExecutionPolicy Bypass参数, 这是因为在默认情况下, powershell的安全策略规定不允许运行命令和文件, 但是可以通过添加此参数来绕过任意一个安全保护规则, 在真实的渗透环境中经常用到此参数来执行powershell脚本

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


WindowDefender

成功过掉WindowDefender的静态扫描

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)


但是过不了WindowDefender的动态扫描

PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)文章来源地址https://www.toymoban.com/news/detail-409549.html

到了这里,关于PowerShell木马免杀利器: Invoke-Obfuscation(过火绒)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • C# 中this.Invoke(delegate)与delegate.Invoke()区别

    在多线程运行中,想要更改UI控件的属性。一直认为两种方式是一样的,以前也是混着写的,这次翻车了。 这个是 在拥有控件的基础窗口句柄的线程上,用指定的自变量列表执行指定委托。 ,也就是说通知UI线程处理事件,可跨线程。 这个是 执行委托,运行在创建委托的线

    2023年04月08日
    浏览(39)
  • 绕过杀软(二)——免杀exe文件(360、火绒免杀)

    攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133 第一步:使用njRAT生产一个客户端exe木马 输入回连端口号8888,点击start 配置客户端木马的回连地址:192.168.32.134 将文件保存在桌面 开启360杀毒,直接报毒,不免杀 1、将生成的客户端木马:

    2024年01月17日
    浏览(45)
  • C# 中的Invoke方法

    Invoke 是委托类型的实例方法,用于调用委托所引用的方法。委托是一种类型,它允许我们将方法作为参数传递并存储在字段或属性中。当委托实例被调用时,它会调用与之关联的方法。可以使用 += 运算符将一个方法添加到委托中,使用 -= 运算符将其从委托中删除。 在具体使

    2024年02月13日
    浏览(37)
  • C# 中的Invoke 方法

    问题的引发: ?.Invoke()是什么意思。 答案如下: 同时又想到UI线程那块,也有invoke,区别是什么?故此总结如下: 在 C# 中,Invoke 方法可用于委托调用、控制 UI 线程操作和反射调用等多种情况。具体使用方法取决于上下文和所涉及的类型。 1、委托的 Invoke 方法:委托类型具有

    2024年02月13日
    浏览(37)
  • C#中的Invoke

    在 C# 中, Invoke() 是一个用于调用方法的方法,它能够在运行时动态地调用一个方法。 Invoke() 方法的使用方式有两种: 通过 MethodInfo 对象调用: 在上面的示例中,我们首先通过 typeof(MyStore).GetMethod(\\\"MyMethod\\\") 获取了 Open 方法的 MethodInfo 对象,然后使用 Invoke() 方法调用该方法。

    2024年02月14日
    浏览(45)
  • 【Unity入门】19.定时调用Invoke

        大家好,我是Lampard~~     欢迎来到Unity入门系列博客,所学知识来自B站阿发老师~感谢  (1)Invoke 单词调用     计时器我们并不陌生,在cocos上有着schedule类是相似的。在Unity中给我们提供了Invoke相关的类来实现计时器功能     首先我们熟悉的是 单次延时调用方法Inv

    2024年02月03日
    浏览(41)
  • 免杀入门---shellcode免杀

            本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。         免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。         市面上的杀毒软件基本由扫描器、病毒特征

    2024年02月02日
    浏览(69)
  • CS免杀上线方式

    🍊博客主页:Scorpio_m7 🎉欢迎关注🔎点赞👍收藏⭐️留言📝 🌟本文由 Scorpio_m7原创,CSDN首发! 📆首发时间:🌹2022年1月28日🌹 ✉️坚持和努力一定能换来诗与远方! 🙏作者水平很有限,如果发现错误,请留言轰炸哦!万分感谢感谢感谢! wmic是一款Microsoft工具,它提供

    2024年02月07日
    浏览(35)
  • 免杀方法(一)mimikazta

    Mimikazta是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取 明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。也可以通过明文 密码或者传递hash值来提权。因为这款工具特别出名所以被查杀的机率很大, 我们可以通过github上的开源代码对其进行源码免杀从而by

    2024年02月06日
    浏览(35)
  • 网络安全基础免杀

    1. 会话提升的几种方式 2. armitage的熟悉 3. handler生成监听器的方法 4. 防止会话假死 5. 控制台设置编码 6. upx加壳 7. msfvenom木马payload持久化 8. msfvenom木马编码 正文 1. 会话提升的几种方式 python -c \\\"import pty;pty.spawn(\\\'/bin/bash\\\');\\\" 会话提升 session -u 4      将shell会话提升成meterpreter会

    2024年02月07日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包