Powershell编码与混淆

栏目: 编程工具 · 发布时间: 7年前

内容简介:Powershell编码与混淆

在powershell中最常使用的编码就是base64编码了,今天主要说一下Invoke-Obfuscation 这个powershell混淆编码框架,这也是著名的组织APT32 (海莲花)经常使用的一个工具。

地址: https://github.com/danielbohannon/Invoke-Obfuscation

下载后,在当前目录的ps命令行中输入 Import-Module.\Invoke-Obfuscation.psd1; Invoke-Obfuscation   装载框架

Powershell编码与混淆

输入set  scriptblock  ‘echo xss ‘  这里输入要编码的powershell命令

然后输入ENCODING  就会列出以下几种编码方式

Powershell编码与混淆

输入1选择ascii编码

Powershell编码与混淆

在Result中看到了编码后的命令,可以直接在powershell里面执行

然后我们输入back返回到上一层

输入launcher  选择命令的启动方式,可以尝试多种不同的方法结合。

Powershell编码与混淆

输入ps 然后选择67 (67代表隐藏执行与绕过执行限制)  就会生成完整的混淆与编码后的命令

Powershell编码与混淆

输入show options  打开设置选项

Powershell编码与混淆

我们也可以直接在ps的命令行中直接进行编码

Invoke-Obfuscation -ScriptBlock {echo xss} -Command 'Encoding\1,Launcher\PS\67' -Quiet

Powershell编码与混淆

进行多次编码

在进行第一次编码后然后输入要编码的类型进行二次编码

Powershell编码与混淆

选项中可以看到使用了2次编码命令

undo取消最近一次的编码命令/reset取消所有的编码命令

Powershell编码与混淆

在系统日志中(%systemroot%\System32\winevt\powershell.evtx),通过混淆与编码后的powershell命令更加增加了溯源的难度

Powershell编码与混淆

总结:

在windows环境下,使用powershell的攻击者将会越来越多,通过对powershell 编码与混淆,可以有效的绕过一些杀软检测并且更加具备隐藏的目的。同时也让我们认识到了powershell脚本的灵活性。

* 本文作者:al0ne_,转载请注明来自FreeBuf(FreeBuf.COM)


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

博客秘诀:超人气博客是怎样炼成的

博客秘诀:超人气博客是怎样炼成的

Darren Rowse、Chris Garrett / 向怡宁 / 人民邮电出版社 / 201005 / 39.00元

作为Web 2.0的新生事物的博客,如今已蓬勃发展,呈燎原之势,业已成为许多人的一种生活方式。中国从事博客写作的人数已达千万级,各类博客网站不可胜数。 然而,为什么有的博客人气鼎盛,拥趸众多,有的博客却门前冷落,少人问津呢?究竟应该怎样写好自己的博客,才能让它吸引更多访客的关注呢?博客网站还能为我做什么呢? 本书的两位作者长期主持知名博客站点ProBlogger.net,指导了成千上万......一起来看看 《博客秘诀:超人气博客是怎样炼成的》 这本书的介绍吧!

MD5 加密
MD5 加密

MD5 加密工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

html转js在线工具
html转js在线工具

html转js在线工具