免杀powershell 绕过杀软

免杀powershell 绕过

小白看了各种大佬做的免杀文章感觉太神奇了，于是自己也做了一个………….有点low，Don't

laugh at me！

本次实验用到了，如下工具：

一台公网VPS（这可以打击公网的个人机了）

frp（端口转发）

venom（制作powershell）

Invoke-Obfuscation（加密powershell）

docker部署tomcat服务（存放恶意代码）

Easy CHM（触发命令执行）

Kali Msf (监听)

---

Frp搭建：

网上拥有很多教程，用来做端口转发，将你的kali映射到公网。以下是推荐教程：

https://github.com/fatedier/frp/releases

https://blog.csdn.net/u013144287/article/details/78589643

以下是我的公网VPS

frp配置：（可以参考一下）

服务端配置

Kali frp配置：

客户端配置

然后服务端VPS执行./frps -c frps.ini

客户端Kail 执行./frpc – frpc.ini

这样经把kali的22（ssh）4444（木马监听端口）映射到公网上去了。

xshell 访问公网ip

现在可以公网登陆kali了！

对了 还有一个坑 防火墙要放行端口 我用的是阿里VPS：

网页防火墙配置

怕影响实验，我在linux也放行了需要映射的端口。。。。。。。。。。

linux防火墙配置

---

Venom 制作powershell

参考链接：

https://github.com/r00t-3xp10it/venom

https://www.cnblogs.com/wh4am1/p/7469625.html

选择windows 2

选择11

设置ip地址的时候要填写公网IP

端口选择kali中映射的端口，打码地方的端口60002（随便写个方便理解），这样shell反弹到VPS的60002端口，又通过frp转发到本地kail上。

打码地方为60002

填写公网ip

填写映射端口

选择3

操作和链接中的一样，最后在output生成一个bat，和ps1文件

---

Docker搭建tomcat：

然后在VPS中搭建一个简单的web服务器，我直接从docker中拉了一个tomcat的镜像（比较方便）将test.ps1 放到web服务器中。

将8080端口映射出去，记得防火墙有放行哦！现在已经将test.ps1放入服务器中

浏览器访问没有问题：

在venom中记得有生成过一个.bat 文件，现在kali进行监听。然后随便找一个联网的肉鸡将.bat 拷贝进去然后双击。

jj了

发现qq管家拦截了。好吧我先测试木马是否可以上线，将杀毒关掉。

测试木马上线反弹shell已经没有问题了。接下来做下免杀。。。。。。。（比较low）

---

Easy CHM+ Invoke-Obfuscation免杀

参考链接：https://www.cnblogs.com/croso/archive/2016/04/11/5380318.html

使用CHM执行cmd命令执行powershell

编译后运行又被拦截了。

又被jj了

那我将其拆成俩个文件，并且使用Invoke-Obfuscation对powershell进行加密。

参考链接：https://www.freebuf.com/sectool/136328.html

下载地址:https://github.com/danielbohannon/Invoke-Obfuscation

将bat里的powershell命令提取出来，然后使用Invoke-Obfuscation进行加密。并保存为new.ps1

CHM重新编译：

将生成的文件与加密后的.ps1放入同一个文件夹中

QQ管家测试完美绕过：

Perfect!

360检测：被jj了

火绒检测：也被jj了

VT 跑一下，还凑乎吧

Powershell如何隐藏执行，不被检测，希望大佬能给小白些建议。（还有一个谈黑框有点烦）木马与杀毒本来就是矛与盾的较量，来不断提高杀毒的能力！。。。。。。。。。。

                                                                                                           2019-8-7

                                                                                                                YLL