首页 站长运维 脚本编程 Powershell编码与混淆

摘要

powershell中最常使用的编码就是base64编码了,今天主要说一下Invoke-Obfuscation 这个powershell混淆编码框架,这也是著名的组织APT32 (海莲花)经常使用的一个工具。

地址:

下载后,在当前目录的ps命令行中输入 Import-Module.\Invoke-Obfuscation.psd1; Invoke-Obfuscation 装载框架

Powershell编码与混淆

输入set scriptblock ‘echo xss ‘ 这里输入要编码的powershell命令 然后输入ENCODING 就会列出以下几种编码方式

Powershell编码与混淆

输入1选择ascii编码

Powershell编码与混淆

在Result中看到了编码后的命令,可以直接在powershell里面执行 然后我们输入back返回到上一层 输入launcher 选择命令的启动方式,可以尝试多种不同的方法结合。

Powershell编码与混淆

输入ps 然后选择67 (67代表隐藏执行与绕过执行限制) 就会生成完整的混淆与编码后的命令

Powershell编码与混淆

输入show options 打开设置选项

Powershell编码与混淆

我们也可以直接在ps的命令行中直接进行编码

   Invoke-Obfuscation -ScriptBlock {echo xss} -Command Encoding\1,Launcher\PS\67 -Quiet

Powershell编码与混淆

进行多次编码 在进行第一次编码后然后输入要编码的类型进行二次编码

Powershell编码与混淆

选项中可以看到使用了2次编码命令 undo取消最近一次的编码命令/reset取消所有的编码命令

Powershell编码与混淆

在系统日志中(%systemroot%\System32\winevt\powershell.evtx),通过混淆与编码后的powershell命令更加增加了溯源的难度

Powershell编码与混淆

总结:

在windows环境下,使用powershell的攻击者将会越来越多,通过对powershell 编码与混淆,可以有效的绕过一些杀软检测并且更加具备隐藏的目的。同时也让我们认识到了powershell脚本的灵活性。 Powershell编码与混淆

标题:Powershell编码与混淆

分类:脚本编程

链接:https://www.seozhan.cn/30706.html

版权:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至503806699@qq.com 举报,一经查实,本站将立刻删除

相关文章

评论 暂无评论