powershell -enc參數無法解碼base64編碼payload的解決方案
阿新 • • 發佈:2018-07-07
查找 ips col ont and 解決 con pan net
powershell的-enc參數允許傳入一個base64編碼過的powershell腳本字符串作為參數來執行該powershell腳本,該方法常被用於繞過殺毒軟件的主動防禦機制。
今天下午在做一個後門程序時,通過在線base64編碼網站編碼的字符串竟然沒法被powershell的-enc參數解析,解析時全是亂碼,通過查找資料終於解決了這個問題
故將這個問題記錄下來以備後續使用
方法引用自:http://www.pstips.net/question/5827.html
可以使用如下腳本,對所需powershell腳本進行編碼,所得字符串可以被powershell的-enc參數解析
$fileContent= “所要編碼的腳本” $bytes = [System.Text.Encoding]::Unicode.GetBytes($fileContent) $encodedCommand = [Convert]::ToBase64String($bytes) echo $encodedCommand
編碼後的腳本可以通過如下命令解析執行
powershell -enc $encodedCommand
powershell -enc參數無法解碼base64編碼payload的解決方案