:关于 Powershell 对抗安全软件

华盟原创文章投稿奖励计划


知识点介绍:

Windows PowerShell是以.NET Framework技术为基础,并且与现有的WSH保持向后兼容,因此它的脚本程序不仅能访问.NET CLR,也能使用现有的COM技术。同时也包含了数种系统管理工具、简易且一致的语法,提升管理者处理,常见如登录数据库、WMI。Exchange Server 2007以及System Center Operations Manager 2007等服务器软件都将内置Windows PowerShell。      

Windows PowerShell的强大,并且内置,在渗透过程中,也让渗透变得更加有趣。而安全软件的对抗查杀也逐渐开始针对powershell的一切行为。

在https://technet.microsoft.com,看到文档如下:

:关于 Powershell 对抗安全软件

针对它的特性,本地测试:

:关于 Powershell 对抗安全软件

上文所说,越来越多的杀软开始对抗,powershell的部分行为,或者特征。以msfvenom为例,生成payload。

:关于 Powershell 对抗安全软件

micropoor.ps1不幸被杀。

:关于 Powershell 对抗安全软件

:关于 Powershell 对抗安全软件

接下来考虑的事情是如何把以上重复的工作变成自动化,并且针对powershell,DownloadString特性,设计出2种payload形式:

(1)目标机出网

(2)目标机不出网

并且根据需求,无缝连接Metasploit。

根据微软文档,可以找到可能对以上有帮助的属性,分别为:

WindowStyle

NoExit

EncodedCommand

exec

自动化实现如下:

:关于 Powershell 对抗安全软件

:关于 Powershell 对抗安全软件

:关于 Powershell 对抗安全软件

:关于 Powershell 对抗安全软件

:关于 Powershell 对抗安全软件

更多有趣的实验:把例1的down内容更改为例2,并且去掉payload参数。来减小payload大小。

更改Invoke-Mimikatz.ps1等。

:关于 Powershell 对抗安全软件

文章作者:Micropoor

原文链接:https://micropoor.blogspot.com

本文原创,作者:一叶知秋,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/233219.html

发表评论