CMD命令混淆学习

最新推荐文章于 2025-04-12 10:20:00 发布
最新推荐文章于 2025-04-12 10:20:00 发布
阅读量2k 收藏 13
点赞数
分类专栏: 免杀和bypass 文章标签: 乌鸦安全 免杀 bypass cmd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csdnmmd/article/details/125209176
版权

更新时间:2022.06.08
image.png

本文首发乌鸦安全知识星球!

1. 背景介绍

cmd命令混淆的意义主要是bypass,混淆也不能影响原来的命令执行结果。

2. 混淆方法

2.1 双引号法"

使用双引号包裹字符,相当于将字符进行连接。
who""a""mi
image.png

在这个也可以这样:
image.png
最好是成对使用:
image.png

2.2 转义符^

字符 ^CMD命令中最常见的转义字符,该字符不影响命令的执行。
who^am^i
image.png
在这里不能两个^^放在一起使用,不然会报错:

image.png

2.3 大小写混合

WHoAmI
image.png

2.4 空格替换,;

逗号 , 和分号 ;可以互换,可以取代命令中的合法空格,多个空格也不影响命令执行。

;, net user
,; net user

image.png
但是不能在一个连续命令中间使用:

image.png

2.5 括号()

成对的圆括号()也会出现在命令参数中,也不影响命令的执行。圆括号表示嵌入子命令组,同样被cmd.exe参数处理器进行解释
这个句子注意当前使用的时候,只能够使用完整的一个命令使用当前的符号,不能分开:

image.png
多层同样不影响使用:
image.png

2.6 set设置环境变量

set a=cmd /c whoami  --->  %a%

在这个例子中,通过设置变量,然后去执行变量,但是一定要注意在设置set的变量值和等号之间不能有空格:

image.png

3. 混淆工具 Invoke-DOSfuscation

3.1 工具介绍

在混淆中,由于命令和方法太多,比如管道符| & || 等等,有时候我们不知道如何处理,所以在这里提供了一个新的混淆工具:
https://github.com/danielbohannon/Invoke-DOSfuscation

首先导入该工具的包:
image.png
这里是因为默认禁止加载,修改下,以管理员身份运行ps,然后执行命令:

set-ExecutionPolicy RemoteSigned
选择Y

image.png

再次加载的时候报毒:

image.png

在这里需要关闭你的杀软,然后再加载:

Import-Module .\Invoke-DOSfuscation.psd1
Invoke-DOSfuscation

image.png

在这里的命令非常的多,在这里演示下最简单的用法:
使用 set command 设置命令,然后跟着步骤做就行了,最后生成的命令为:

whoa%ALLUSERSPROFILE:~-5,1%i

image.png

刚刚的命令执行结果:
image.png
当然,在这里还可以使用BACK命令回退上一级
image.png

%comMonpROGRaMFiLes:~     22,      1%%COmmOnPrOgramFILES:~      27,    -1%t%PROgrAmFILES:~    10,     -5%%pUblic:~    -5,   -4%s%tEmP:~    -3,   1%r

同样可以执行:

image.png

3.2 测试添加账号过火绒(失败)

在这里使用添加用户的命令来测试下火绒,因为我这个火绒病毒库没有及时更新,理论上讲不影响我们的操作:

image.png

当使用正常的用户添加命令的时候,会报毒:

image.png

image.png

在这里使用刚刚的工具来试试:

image.png

ne%ALLUSERSPROFILE:~12,-1% use%TEMP:~6,1%%CommonProgramW6432:~-6,1%%ALLUSERSPROFILE:~12,-1%e%SystemRoot:~-1,1%%TEMP:~-13,-12% 123 /%LOCALAPPDATA:~-7,1%d%OS:~3,-6%

image.png

再试试其他的方法:

image.png

还是不行:
image.png

添加用户的我已经单独写了一个文章了,后面再发。

4. 总结

对cmd命令的混淆的目的并不是为了在这里添加用户,是为了辅助其他的操作,比如certutil的命令执行等。本文参考了大量的链接,感觉各位师傅的支持。

5. 参考资料

https://update.venuseye.com.cn/reports/1548417941041/%E4%BB%A5Emotet%E4%B8%BA%E4%BE%8B%E6%B7%B1%E5%85%A5%E5%88%86%E6%9E%90CMD%E5%91%BD%E4%BB%A4%E6%B7%B7%E6%B7%86%E6%8A%80%E6%9C%AF20181212.html

https://blog.youkuaiyun.com/weixin_45745344/article/details/108088887

https://cloud.tencent.com/developer/article/1633973

CMD命令混淆解决方案
SHELLCODE_8BIT的博客
04-20 261
APT的思考: CMD命令混淆高级对抗 - 云+社区 - 腾讯云 (tencent.com)
CMD命令混淆
悦分享
08-11 612
CMD中有许多的特殊字符,都有一定的特殊功能,我们将这些特殊字符拼接进命令中,并不影响命令本身的执行。可能达到绕过软的效果。在内网渗透的时候,执行CMD命令会被软拦截,因为软规则库的不同,可能会体现出不同的效果。...
Windows CMD命令混淆学习思路
2201_75735270的博客
08-01 148
CMD命令中可以执行ping 命令,该命令是由unix系统移植过来的,帮助页面建议命令行选项应使用连字符作为选项字符,例如ping -n 1127.0.0.1. 这与大多数其他使用正斜杠的 Windows 原生命令行工具不一致。大概是为了帮助有疑问的用户,该程序还接受正斜杠作为选项比如 ping/n 1 127.0.0.1也能运行的。大多数使用连字符的内置 Windows 可执行文件也接受正斜杠,但有的命令却不可以,例如find /i。
解决CMD命令路径含空格问题C:\Program Files\
csdnxjhy的博客
04-12 309
解决CMD命令路径含空格问题
谈谈CMD中那些命令混淆的姿势
热门推荐
Master先生的博客
08-18 5万+
一、简介 CMD中有许多的特殊字符,都有一定的特殊功能,我们将这些特殊字符拼接进命令中,并不影响命令本身的执行。可能达到绕过软的效果。在内网渗透的时候,执行CMD命令会被软拦截,因为软规则库的不同,可能会体现出不同的效果。总的来说能绕过还是很开心的事情。基于本人在学习上的研究,希望将一些姿势拿出来与大家分享一下。 二、CMD命令混淆姿势 使用双引号绕过(注意:双引号成对使用) wh""oa""m""i 使用转义符绕过(注意:不能连续使用 会报错) who^am^i 使用set命令
【网络安全】Windows cmd命令混淆学习思路
HBohan的博客
10-29 1288
前言 最近有些朋友问我一些问题,由于个人技术有限,对静态有些了解(动态真的不会,太菜了),所以就总结了一些Windows中cmd命令混淆思路,静态无非就是对安全设备检测到代码(命令)中的特征字符进行查、过滤,首先做的就是对于特征字符的处理,随后就是对环境中限制的字符替换或混淆,从而达到效果。 【查看资料】 一、选项字符替换 CMD命令中可以执行ping 命令,该命令是由unix系统移植过来的,帮助页面建议命令行选项应使用连字符作为选项字符,例如ping -n 1 127.0.0.
Windows 命令混淆
prettyX的博客
10-04 510
参考文章: 鸿鹄实验室《Windows命令混淆》 环境变量 环境变量的基本用法是使用set对变量进行赋值,然后可以直接使用赋值后的变量进行直接调用 查看环境变量: set 设置环境变量: set abc=cmd /c whoami 执行: %abc% 所有的在cmd命令行下对环境变量的修改只对当前窗口有效,不是永久性的修改。也就是说,当关闭此cmd命令行窗口后,将不再起作用。 双引号 双引号,可以帮助文件或目录保持一个整体,而不会被中间的空格切割。 用法是:...
运维知识点-Windows操作系统-cmd/Dos批处理bat命令与脚本手册
aming小老弟
11-17 2271
注释输入和输出变量条件判断循环跳转函数DOS命令CurlTelnet添加账号并加入管理员组添加用户至远程桌面组允许修改密码关闭防火墙获取系统和版本信息显示本地或远程机器上当前运行的进程列表。操作系统 服务命令列表chkdsk.exe 磁盘检查开3389端口systeminfo获取NETBIOS主机名ping 测试网络连接net computer 添加或者删除域数据库中的计算机,telnet命令进行远程登陆使用ftp命令进行数据传输使用netstat命令查看网络连接的相关信息。
.NET 反混淆脱壳
09-18
总的来说,`.NET 反混淆脱壳`是.NET安全领域的一个重要方面,对于软件开发者、安全研究人员以及逆向工程师来说,理解和掌握这一技术至关重要,因为这可以帮助他们更好地分析和理解代码,无论是为了调试、学习还是...
[网络安全提高篇] 一二九.Powershell恶意代码检测 (5)混淆和反混淆 [上]
杨秀璋的专栏
04-09 407
前文介绍了如何利用MS Defender实现恶意样本家族批量标注。这篇文章将继续讲解Powershell恶意代码检测,主要包括PowerShell混淆与反混淆内容,首先结合Invoke-Obfuscation工具详细介绍PowerShell代码混淆方法,再结合PowerDecode工具阐述解混淆方法。该研究将为后续的恶意软件家族分类或溯源提供帮助。未完待续,基础性文章,希望您喜欢,且看且珍惜。
解Emotet的CMD混淆方法
摔不死的笨鸟的博客
11-16 498
CMD混淆是JS、VBA、powershell等混淆语言中最难解的,因为对于CMD来说是没有公开的调试器的,需要去了解繁杂众多的CMD语法。CMD为了使用方得便,命令中有很多容错率,从而也导致BAT脚本可以被混淆得很厉害。 以下是CMD中容易使用用来混淆的字符: 语法符号 功能作用 >、>> 重定向 竖杠 管道 &&、&、双竖杠 语句连接 ^ 转义字符,该字符不影响命令的执行 ,和 ; 这两个符号可以互换,可以取代命令中的合法空格
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2620
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
windows cmd下的转义符
sayyy的专栏
05-14 3万+
初始脚本(正确) @cd %~dp0 @cd kafka_2.12-2.2.0/bin/windows @cmd /C kafka-server-start.bat ../../config/server.properties @cd ../../../ @pause 改进后脚本(错误) @cd %~dp0 @cd kafka_2.12-2.2.0 @cmd /C bin/windows/kaf...
替换空格
cm_cyj_1116的博客
12-15 382
题目:请实现一个函数,把字符串中的每个空格替换成“%20”。例如:输入“we are happy.”则输出“we%20are%20happy.”。 #include #include #include using namespace std; //思路分析: //1.对于字符串数组,将其中出现的空格置换为%20,也就是%和空格的ASCII码值; //1.判断数组的大小是否大于字符的个数+2*Co
【批处理DOS-CMD命令-汇总和小结】-Cmd窗口中常用操作符(<、<<、&<、>、>>、&>、&、&&、||、|、()、;、@、““、‘‘)
小坏蛋的博客
06-30 8487
(1)小于号
windows下命令提示符中有空格路径的解决方法
weixin_34018202的博客
11-21 584
1)用缩写。比如c:\Program Files 缩写为c:\Progra~1   再来刨根问底查查这个命名是否有规则,于是找到:   文件夹(sub-directry)名称,以前是不允许带空白的,后来允许带空白,但由于有了空白,许多命令出现二义性,于是采用双引号括起来的办法。例如:   cd Documents a...
dos 命令
94小菜
11-30 1702
这里写目录标题for /f %i:FOR循环时用,CMD直接执行使用 %%i:FOR循环时用,BAT脚本中使用 %i%:调用普通变量 for /f        提取文本信息,则是for /f的拿手好戏:读取文件内容;提取某几行字符;截取某个字符片段;对提取到的内容再切分、打乱、杂糅……只要你所能想到的花样,for /f 都会想方设法帮你办到,因为,for /f 就是被设计成专门用于解析文本的 1、普通用法: 两个小案例:把test.ba
Bypass学习基础
KHOST的博客
10-01 2504
一、网站防护分类 1.源码防护: 使用过滤函数对恶意攻击进行过滤,绕过思路: ①大小写替换 ②变换提交方式:如get请求变post/cookie请求绕过 ③编码绕过:url编码、基于语句重叠、注释符等 2.软件WAF: 通过访问速度、指纹识别等特征进行拦截;常见软件WAF如安全狗、D盾、云锁、云盾等,软件WAF侧重拦截web漏洞。通过访问阈值的大小判断为CC攻击,进行IP封锁; 3.硬件WAF: 主要防御流量和部分web攻击。常见硬件WAF如天融信、深信服等厂商的防火墙。硬件WAF基于T..
sdio cmd52 cmd53
最新发布
05-28
<think>好的,我现在需要帮助用户了解SDIO的CMD52和CMD53命令的具体用法和差异。首先,我得回忆一下SDIO协议的基本知识,这两个命令属于SDIO的I/O命令,用于读写寄存器或数据传输。用户可能是在开发嵌入式系统或驱动时遇到了相关问题,需要明确两者的使用场景和区别。首先,我应该明确CMD52和CMD53的基本定义。CMD52是单字节的读写操作,适用于快速访问单个寄存器,比如配置设备或读取状态。而CMD53支持多字节的块传输,适合大量数据传输,比如读取传感器数据或传输文件。用户可能需要知道什么时候用哪个命令更高效。接下来,我需要详细说明两者的参数和结构。比如,CMD52的参数中包括地址、读写位和数据,而CMD53则有块模式、地址、字节数等参数。这里需要注意字节序和地址对齐的问题,可能影响实际使用。然后,差异对比是关键。要分点列出,比如操作粒度、使用场景、性能、错误处理等。用户可能关心性能优化,比如在频繁访问时用CMD53减少命令开销。同时,错误处理方面,CMD52的原子性可能更可靠,而CMD53在传输中出错可能需要重试整个块。 还要考虑用户可能的实际应用场景,比如在嵌入式系统中,CMD52用于配置SDIO设备的寄存器,而CMD53用于数据传输。例如,Wi-Fi模块通过SDIO接口,CMD52设置寄存器,CMD53传输网络数据包。需要确保举例贴近实际,帮助用户理解。 另外,用户提供的引用中提到了启动顺序和编译环境,可能与系统初始化或驱动开发相关。虽然引用内容不直接涉及SDIO命令,但用户可能在开发底层驱动时需要结合启动流程,比如在初始化SDIO控制器时正确使用这些命令。需要确保回答准确,避混淆。 最后,生成相关问题时要考虑用户可能深入的问题,比如如何调试CMD52/53的错误,或如何优化传输性能。这些问题能帮助用户进一步学习,解决实际问题。总结一下,我需要结构清晰地解释两个命令的用法、参数、差异,并举例说明应用场景,同时生成相关问题引导用户深入。确保使用正确的中文术语和LaTeX格式,符合用户的要求。</think>### SDIO CMD52与CMD53命令详解 #### 1. **CMD52(单字节读写)** - **功能**: 用于对SDIO设备寄存器进行**单字节**级别的读写操作,适合快速配置或状态查询。 - **参数结构**: - **地址**: 17位寄存器地址($0x00000 \sim 0x1FFFF$) - **读写位**: 读(0)/写(1) - **数据**: 写入的1字节数据(写操作时有效) - **应用场景**: - 修改设备控制寄存器(如使能中断) - 读取设备状态寄存器(如检查数据传输完成标志) - **示例代码**: ```c // 读取寄存器0x100的值 sdio_send_command(CMD52, 0x100, READ_MODE, &response); ``` #### 2. **CMD53(多字节块传输)** - **功能**: 支持**多字节连续传输**,适用于批量数据传输场景。 - **参数结构**: - **块模式**: 固定块(Fixed)或增量块(Increment) - **地址**: 17位寄存器地址($0x00000 \sim 0x1FFFF$) - **字节数**: 传输长度($1 \sim 512$字节) - **应用场景**: - 读取传感器数据块(如加速度计采样数据) - 传输网络数据包(如Wi-Fi模块的TX/RX缓冲区) - **示例代码**: ```c // 从地址0x200读取128字节数据 sdio_send_command(CMD53, 0x200, INCREMENT_MODE | 128, &response); ``` #### 3. **核心差异对比** | 特性 | CMD52 | CMD53 | |--------------------|-------------------------------|--------------------------------| | **操作粒度** | 单字节 | 多字节(1-512) | | **性能开销** | 高(每次操作需单独命令) | 低(单命令完成多字节传输) | | **地址对齐** | 无需对齐 | 要求4字节对齐(部分设备) | | **原子性** | 单次操作原子性保证[^1] | 传输中断可能导致数据不完整 | | **典型延迟** | 约5μs/字节 | 约0.1μs/字节(批量模式) | #### 4. **实际应用案例** - **Wi-Fi模块驱动**: - 使用CMD52设置**中断使能寄存器**(如`INT_ENABLE = 0x01`) - 通过CMD53读取**RX数据缓冲区**(批量传输802.11帧) - **医疗传感器**: - CMD52配置**采样率寄存器**(如`SAMPLING_RATE = 0x64`) - CMD53读取**FIFO缓冲区**(获取连续心率数据) #### 5. **调试技巧** 1. **CMD52错误排查**: - 检查地址是否超出设备寄存器空间 - 验证写保护位状态(某些寄存器只读) 2. **CMD53传输优化**: - 使用DMA配合块传输减少CPU占用 - 调整块大小至设备支持的最大值(如512字节)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值