文章来源:红队攻防
参考原作者视频
https://www.bilibili.com/video/BV1Mq4y1v7WC?spm_id_from=333.999.0.0前言:
Powershell在渗透当中或多或少都会使用,但杀软对于powershell看管的很严格
测试环境:物理机+最新版的360
首先我们假设已经拿到了webshell或者上线到CS,能够执行命令,执行PowerShell代码,如下所示
发现被360给拦截了 ,也就是正常的输出命令也被拦截,能说明跟代码没有任何的一个关系,就是禁止你调用PowerShell这个进程
绕过方法:
微软提供的一个dll
C:WindowsMicrosoft.NETassemblyGAC_MSILSystem.Management.Automationv4.0_3.0.0.0__31bf3856ad364e35
部分代码:
byte[] psshell = Convert.FromBase64String(ps);string decodedString = Encoding.UTF8.GetString(psshell);Runspace rs = RunspaceFactory.CreateRunspace();rs.Open();
把上线命令进行base64编码
成功上线
结果:360全程没有任何拦截
绕过并创建计划任务
用PowerShell创建计划任务
发现被拦截
把powershell进行base64编码
执行我们的powershell代码
结果: 成功写入进去
【往期推荐】
【超详细 | Python】CS免杀-Shellcode Loader原理(python)
【超详细 | 钟馗之眼】ZoomEye-python命令行的使用
【超详细 | 附EXP】Weblogic CVE-2021-2394 RCE漏洞复现
【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现
【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞
【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现
【奇淫巧技】如何成为一个合格的“FOFA”工程师
【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】
【漏洞速递+检测脚本 | CVE-2021-49104】泛微E-Office任意文件上传漏洞
走过路过的大佬们留个关注再走呗
往期文章有彩蛋哦
一如既往的学习,一如既往的整理,一如即往的分享
“如侵权请私聊公众号删文”
推荐阅读↓↓↓
我知道你在看哟
原文始发于微信公众号(渗透Xiao白帽):分享 | 绕过数字杀软的PowerShell调用并Bypass计划任务
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论