Ax Powershell分离免杀
可以免杀主流的杀软,Defender不行
powershell是一个很好的东西。
Bx 步骤
免杀原理就是将payload注入图片,然后远程解析payload并注入到目标机的powershell的进程中,适用于在内网中出网的情况,属于分离和进程注入两者的混合拳
准备
- 准备一张图片至少1920*1200,备用
- CS
- Invoke-psmage脚本
工具:Invoke-PSImage 下载:https://github.com/peewpw/Invoke-PSImage
生成
CS生成一个powershell脚本
混淆
将木马和图片放入Invoke工具目录下,POWERSHELL执行命令
# import-Module .\Invoke-PSImage.ps1
# Invoke-PSImage -Script .\payload.ps1 -Image .\a.jpeg -Out ax.jpeg -Web
将生成的代码放入文本文件编辑
托管
目录之中多出了一个代码混淆之后的马子图片
下一步
将产生的图片马放入CS服务器中生成一条连链接
攻击》web钓鱼》文件托管
关键参数:
文件:马子图片
Local URI:链接后的目录 如:/image/ax.jpeg
然后将CS生成的链接替换代码中的URL
在客户端使用powershell运行此代码即可。
