powershell
win自带defender杀毒工具,所以defender和powershell用的同一种语言,很容易被查杀,所以我们尽量就不要用powershell
cs生成payload--powershell、命令模式
如果是powershell脚本,只要对方执行就能上线,如果是cmd,先输入powershell,然后payload.ps1
1、文件模式-上线代码在文件重,利用powershell去执行这个ps1文件上线
2、执行模式-直接执行命令(有上线代码),最好别在powershell终端执行,容易出错
尝试对这两个模式进行免杀
powershell加密
混淆、手工混淆,将内容进行base64编码,然后进行解码
工具混淆(大多都是会被查杀,被杀软记住了特征码,可以一步一步将源码修改绕过)
填充垃圾数据
1、直接在base64编码上添加,然后将垃圾数据替换为空,最后进行解码
2、直接在原型代码上进行添加,然后解码后进行还原
分离思路
powershell http,将数据放在网站当中,然后数据以http请求上线
更改shellcode格式
比特流不能加单引号,如果加单引号就当作字符串处理
执行模式-直接执行命令(有上线代码)
被行为阻止,动态行为拦截
1、将脚本命令转换为exe
2、命令进行各种绕过
laden-就是一个混淆可视化工具
本文链接:https://my.lmcjl.com/post/6566.html
展开阅读全文
4 评论