Powershell編碼與混淆
在powershell中最常使用的編碼就是base64編碼了,今天主要說一下Invoke-Obfuscation 這個powershell混淆編碼框架,這也是著名的組織APT32 (海蓮花)經常使用的一個工具。
地址:https://github.com/danielbohannon/Invoke-Obfuscation
下載後,在當前目錄的ps命令行中輸入 Import-Module.Invoke-Obfuscation.psd1; Invoke-Obfuscation 裝載框架
輸入set scriptblock 『echo xss 『 這裡輸入要編碼的powershell命令
然後輸入ENCODING 就會列出以下幾種編碼方式
輸入1選擇ascii編碼
在Result中看到了編碼後的命令,可以直接在powershell裡面執行
然後我們輸入back返回到上一層
輸入launcher 選擇命令的啟動方式,可以嘗試多種不同的方法結合。
輸入ps 然後選擇67 (67代表隱藏執行與繞過執行限制) 就會生成完整的混淆與編碼後的命令
輸入show options 打開設置選項
我們也可以直接在ps的命令行中直接進行編碼
Invoke-Obfuscation -ScriptBlock {echo xss} -Command 『Encoding1,LauncherPS67′ -Quiet
進行多次編碼
在進行第一次編碼後然後輸入要編碼的類型進行二次編碼
選項中可以看到使用了2次編碼命令
undo取消最近一次的編碼命令/reset取消所有的編碼命令
在系統日誌中(%systemroot%System32winevtpowershell.evtx),通過混淆與編碼後的powershell命令更加增加了溯源的難度
總結:
在windows環境下,使用powershell的攻擊者將會越來越多,通過對powershell 編碼與混淆,可以有效的繞過一些殺軟檢測並且更加具備隱藏的目的。同時也讓我們認識到了powershell腳本的靈活性。
* 本文作者:al0ne_,轉載請註明來自FreeBuf.COM
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
※DeathStar:一鍵自動化域滲透工具
※狄仁傑探案之「永恆之藍」
※挖洞經驗 | 看我如何找到雅虎的遠程代碼執行漏洞並獲得5500刀獎金
※警惕「永恆之藍」抓雞工具包里的後門
※美國國防部承包商將敏感文件遺留在亞馬遜伺服器上了,任何人都可以訪問
TAG:FreeBuf |
※TensorFlow 支持 Unicode 編碼
※short數組保存unicode編碼和unicode編碼轉換成shrot數組
※Python 編碼規範(Google)
※【視頻編碼】Content Aware ABR技術
※淺談Python編碼
※Python Unicode編碼混亂 :來自大洋彼岸的怨念
※Python Unicode編碼混亂:來自大洋彼岸的怨念
※基於TensorFlow的變分自編碼器實現
※Oculus大更新包含5K視頻編碼支持和Oculus Home新功能
※Science immunology:編碼基孔肯亞病毒中和抗體的mRNA 為免疫治療帶來新策略
※谷歌大腦Wasserstein自編碼器:新一代生成模型演算法
※淺談Python之PEP8編碼風格
※Python判斷網頁編碼
※Adv.Funct.Mater.:通過多肽噴墨列印為生物礦化結構編碼細胞微圖案
※也談 Python 的中文編碼問題
※Facebook新研究:一個編碼器hold住93種語言!跨語言遷移無需修改
※思科軟體再次發現硬編碼密碼;AR/VR 開發工具 Amazon Sumerian 正式上線
※C井——分享幾種常用的編碼轉換,base64、MD5、string
※Python最簡編碼規範
※mysql更改資料庫編碼問題(utf8)