该插件没有什么技术含量,本质上利用的ps2exe.ps1脚本编译为exe,只是不想在命令行里操作,将其写为cna脚本,方便直接快速生成免杀的可执行文件且只有50KB,目前支持exe、ps1文件格式。
注:建议在powershell 4.0版本以上机器安装,可向下兼容powershell 2.0。
使用方法
在导入cna脚本之前,只需要修改当前路径$path为powershell_bypass.cna所在的真实路径即可。
注意:均是两个斜杠
选择Cobalt Strike生成BIN文件。
启用该cna脚本,选择指定的bin文件,点击生成恶意的ps1文件、exe可执行文件,
点击即可上线。
使用powershell 4.0上线server 2012
使用powershell 2.0上线server 2008
如果在webshell触发该可执行文件,需要start命令
更新日志2021/7/18
参考文章
https://www.jianshu.com/p/fb078a99e0d8
https://www.jianshu.com/p/f158a9d6bdcf
cna脚本下载地址
①GitHub: github.com/cseroad/bypassAV.zip
杀毒软件绕过效果检测
①bypass火绒效果
生成木马以及运行木马全程火绒无反应.
静态查杀未检测到病毒
运行上线火绒未报毒
读取文件火绒未报毒
② bypass 卡巴斯基效果
静态查杀卡巴斯基未检测到病毒
成功上线-卡巴斯基未拦截
读取文件-卡巴斯基未拦截
执行命令,卡巴斯基拦截并清除木马,同时锁定所有软件,进行木马扫描.
注意事项:
①导入脚本前请务必修改路径,否则无法生成木马.
②ico图标必填,否则无法生成木马(报错)
这里选择的ico图标为卡巴斯基臭狗熊头像.
③乱码问题
这个影响不大
原文由https://www.ddosi.org/cs-bypass-av/
