decoder-it/powershellveryless
GitHub: decoder-it/powershellveryless
一个用C#实现的PowerShell受限语言模式与AMSI双重绕过工具,可在安全策略严格的Windows环境下执行任意PS1脚本。
Stars: 156 | Forks: 38
# powershellveryless
== 受限语言模式 + AMSI 绑过二合一 ==
使用 C# 实现的快速粗暴(且非常简单)的 CL + AMSI 绑过
2019-03-27: 2019-03-19 版本再次被最新定义捕获,但绑过它很容易(已测试)。
鉴于这场游戏已经变得无聊,我不会再发布任何更新,剩下的就看你了 ;-)
2019-03-19: 添加了一个新的快速粗暴修复,以绑过最新的 Defender 定义
2019-03-13: 添加了快速粗暴修复,以绑过最新的 Defender 定义并集成新的 AMSI 绕过
https://github.com/rasta-mouse/AmsiScanBufferBypass/blob/master/ASBBypass/Program.cs 编译它 (https://decoder.cloud/2017/11/02/we-dont-need-powershell-exe/): ``` C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe /reference: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0__31bf3856ad364e35\system.management.automation.dll /out:c:\setup\powershellveryless.exe c:\scripts\powershellveryless.cs ```
运行它:powerhsellveryless.exe (你的_ps1_脚本)
powershellveryless_2.cs "installutil" 版本:
``` C:\Windows\Microsoft.NET\Framework64\v4.0.30319\installutil /logfile= /LogToConsole=false /ScriptName=(your_ps1_script) /U (exefile) ```
使用 C# 实现的快速粗暴(且非常简单)的 CL + AMSI 绑过
2019-03-27: 2019-03-19 版本再次被最新定义捕获,但绑过它很容易(已测试)。
鉴于这场游戏已经变得无聊,我不会再发布任何更新,剩下的就看你了 ;-)
2019-03-19: 添加了一个新的快速粗暴修复,以绑过最新的 Defender 定义
2019-03-13: 添加了快速粗暴修复,以绑过最新的 Defender 定义并集成新的 AMSI 绕过
https://github.com/rasta-mouse/AmsiScanBufferBypass/blob/master/ASBBypass/Program.cs 编译它 (https://decoder.cloud/2017/11/02/we-dont-need-powershell-exe/): ``` C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe /reference: C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0__31bf3856ad364e35\system.management.automation.dll /out:c:\setup\powershellveryless.exe c:\scripts\powershellveryless.cs ```
运行它:powerhsellveryless.exe (你的_ps1_脚本)
powershellveryless_2.cs "installutil" 版本:
``` C:\Windows\Microsoft.NET\Framework64\v4.0.30319\installutil /logfile= /LogToConsole=false /ScriptName=(your_ps1_script) /U (exefile) ```
标签:AMSI Bypass, AmsiScanBuffer, ApplyAppLocker, AV Evasion, CLM Bypass, InstallUtil, IPv6, OpenCanary, PowerShell, Windows Defender, 恶意脚本执行, 数据展示, 白名单绕过, 私有化部署, 红队, 约束语言模式, 绕过杀软, 绕过防御机制, 防御规避