Invoke-PSImage：将PS脚本隐藏进PNG像素中并用一行指令去执行它

Invoke-PSImage

Invoke-PSImage可以将一个PowerShell脚本中的字节嵌入到PNG图像文件的像素之中，并生成一行执行命令来帮助我们从文件或Web（传递-Web标记）执行它们。

它会利用图片中每个像素点最后4位有效位的2个颜色值来存储Payload数据，虽然图片质量会受到影响，但是一般来说是看不出来有多大区别的。图片需要存储为PNG格式，由于Payload数据存储在颜色值中，因此这种格式可以进行无损压缩并且不会影响到Payload的执行。它可以接受目前绝大多数的图片类型作为输入，但输出必须为PNG格式，因为输出的图片数据需要是无损的。

图片的每一个像素都需要存储脚本的一个字节，所以你需要根据脚本中的字节数据大小来选择图片（尽可能多的像素点）。例如，Invoke-Mimikatz需要一张1920×1200的图片来存储。

参数

-Script[filepath] 需要嵌入在图片中的脚本路径。

-Image[filepath] 需要嵌入的图片文件路径。

-Out[filepath] 输出文件路径。

-Web 输出一条用于读取图片文件的命令，你需要在主机中托管该图片，然后向命令中插入一条URL地址。

例子

创建一张图片，并在其中嵌入脚本”Invoke-Mimikatz.ps1″，然后输出一条执行命令，并从磁盘中执行Payload：

PS>Import-Module.Invoke-PSImage.ps1

PS>Invoke-PSImage-Script .Invoke-Mimikatz.ps1 -Image .kiwi.jpg -Out .evil-kiwi.png

   [Oneliner to execute from a file]

创建一张图片，并在其中嵌入脚本”Invoke-Mimikatz.ps1″，然后输出一条执行命令，并从Web端执行Payload（你还需要Web主机托管改图片，并编辑URL地址）：

PS>Import-Module.Invoke-PSImage.ps1

PS>Invoke-PSImage-Script .Invoke-Mimikatz.ps1 -Image .kiwi.jpg -Out .evil-kiwi.png -Web

   [Oneliner to execute from the web]

执行一张托管在Web端的图片Payload