轻松绕过 AMSI 和 PowerShell CLM

2025年3月2日21:05:20评论8 views字数 382阅读1分16秒阅读模式

将bypass.csproj文件下载到受害者机器中（找到一个可写的文件夹，例如C:WindowsTasks或C:WindowsTemp）。之后只需使用msbuild.exe执行它即可。

C:windowsMicrosoft.NETFramework64v4.0.30319msbuild.exe .FullBypass.csproj

代码将使用内存劫持方法绕过 AMSI，并重写 AmsiScanBuffer 函数中的某些指令。使用 xor 指令，size 参数将为 0，AMSI 无法检测到 powershell 中未来的脚本和命令。

最后，它会询问你的 IP 和端口，以便为你提供一个 powershell 反向 shell。

下载地址：

https://github.com/Sh3lldon/FullBypass

原文始发于微信公众号（Khan安全团队）：轻松绕过 AMSI 和 PowerShell CLM

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

【VulnHub靶场】超全详解DC-9提权渗透