今天给大家带来的是,无powershell运行powershell的一些姿势的分享,由于powershell的特性,使得它很受渗透测试爱好者的喜爱,当然也催生了像ASMI之类的防御手段,当然各类杀软也是把它纳入了查杀行列中,比如某套装,只要你调用PS就会查杀,着实恶心。
所以我们在与AV的对抗中也会想法设法的去bypass来执行PS,这里我便总结了几种无powershell执行powershell的姿势,希望能在实战的时候帮到大家。
下面是总结的列表:
PowerLinePowerShdllNopowershellSyncAppvPublishingServer调用MSBuild.exe调用cscript下面的实验如无特殊说明,均在windowsserversp2+最新版下进行
PowerLine
PowerLine是一款由c#编写的工具,支持本地命令行调用和远程调用,可以在不直接调用PowerShell的情况下调用PowerShell脚本,优点如下:
自动识别win7、win10系统使用方便,无需复杂的ide自动xor编码等下载地址可留言或私信获取
我们来看一下它的使用方法:
首先拉取项目到本地,然后运行build.bat文件
然后在UserConf.xml文件中填写你所需要调用的powershell脚本的地址,默认自带powerup、powerview、Mimikatz等,只要按照他给定的格式加入你的ps脚本地址即可
加入完成以后,运行PLBuilder.exe进行构建,构建过程中,无提示
查看内置的脚本PowerLine.exe-ShowScripts
运行脚本,无提示
但是在运行之后,提示了报*,并删掉了我的exe文件...一般AV只是检测PS发出的恶意请求,但由于在powerline中,请求是由powerline发出的,便绕过了一部分AV,但是缺点也是很明显,就是可扩展性太差,所有的功能依赖于配置文件...
PowerShdll
这个工具主要使用dll去运行powershell而不需要去连接powershell.exe,所以具有一定的bypassAV能力,当然它也可以在这几个程序下运行rundll32.exe,installutil.exe,regsvcs.exe,regasm.exe,regsvr32.exe或者使用作者给出的单独的exe进行执行
下载