繞過數字殺軟的PowerShell調用并Bypass計劃任務

前言:

Powershell在滲透當中或多或少都會使用，但殺軟對于powershell看管的很嚴格

測試環境：物理機+最新版的360

首先我們假設已經拿到了webshell或者上線到CS，能夠執行命令，執行PowerShell代碼，如下所示

發現被360給攔截了 ，也就是正常的輸出命令也被攔截，能說明跟代碼沒有任何的一個關系，就是禁止你調用PowerShell這個進程

繞過方法:

微軟提供的一個dll

C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0__31bf3856ad364e35

部分代碼:

byte[] psshell = Convert.FromBase64String(ps);
string decodedString = Encoding.UTF8.GetString(psshell);
Runspace rs = RunspaceFactory.CreateRunspace();
rs.Open()；

把上線命令進行base64編碼

成功上線

結果:360全程沒有任何攔截

繞過并創建計劃任務

用PowerShell創建計劃任務

發現被攔截

把powershell進行base64編碼

執行我們的powershell代碼

結果: 成功寫入進去