• SEO文章推广! 合作联系qq:122325244 正式全面改版 !免费SEO地址:https://www.seozhan.cn/tool 站长QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏SEO站长博客吧

Powershell编码与混淆

脚本编程 SEO站长博客 2个月前 (08-01) 33次浏览 已收录 0个评论

摘要

powershell中最常使用的编码就是 base64编码了,今天主要说一下 Invoke-Obfuscation 这个powershell混淆编码框架,这也是著名的组织 APT32 (海莲花)经常使用的一个工具。

地址:

下载后,在当前目录的 ps 命令行中输入 Import-Module.\Invoke-Obfuscation.psd1; Invoke-Obfuscation 装载框架

输入set scriptblock ‘echo xss ‘ 这里输入编码powershell命令 然后输入ENCODING 就会列出以下几种编码方式

输入1 选择 ascii编码

在 Result 中看到了编码后的命令,可以直接在powershell里面执行 然后我们输入back 返回到上一层 输入 launcher 选择命令的启动方式,可以尝试多种不同的方法结合。

输入 ps 然后选择 67 (67 代表隐藏执行与绕过执行限制) 就会生成完整的混淆与编码后的命令

输入 show options 打开设置选项

我们也可以直接在 ps 的命令行中直接进行编码

   Invoke-Obfuscation -ScriptBlock {echo xss} -Command Encoding\1,Launcher\PS\67 -Quiet

进行多次编码 在进行第一次编码后然后输入要编码的类型进行二次编码

选项中可以看到使用了 2 次编码命令 undo 取消最近一次的编码命令/reset 取消所有的编码命令

在系统日志中(%systemroot%\System32\winevt\powershell.evtx),通过混淆与编码后的powershell命令更加增加了溯源的难度

总结:

在 windows 环境下,使用 powershell 的攻击者将会越来越多,通过对 powershell 编码与混淆,可以有效的绕过一些杀软检测并且更加具备隐藏的目的。同时也让我们认识到了 powershell 脚本的灵活性。 weinxin


SEO站长博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Powershell编码与混淆
喜欢 (0)
[h4ck3st@126.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址