将你的Powershell脚本隐藏在目标下! Invisi-Shell通过与.Net程序集挂钩,绕过了所有Powershell的安全特性(脚本块记录、模块记录、转录、AMSI)钩子是通过CLR Profiler API进行的。
这仍然是作为POC的初步版本。该代码仅适用于x64进程,并在Powershell V5.1下进行了测试。
使用方法
-
将编译好的InvisiShellProfiler.dll与根目录下的两个批处理文件(RunWithPathAsAdmin.bat & RunWithRegistryNonAdmin.bat)从/x64/Release/文件夹复制到同一文件夹
-
运行其中一个批处理文件(取决于你是否有本地管理员权限)
-
Powershell控制台将运行使用exit命令(不要关闭窗口)退出powershell,让批处理文件进行适当的清理
编译
项目是用Visual Studio 2013创建的。您需要安装Windows Platform SDK才能正确编译。
项目地址:
https://github.com/OmerYa/Invisi-Shell
本文始发于微信公众号(Khan安全攻防实验室):神兵利器 - Invisi-Shell 绕过所有Powershell安全功能
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论