PowerJoker

[참고] : 문제가 있거나 개선 제안이 있으면 언제든지 주저하지 마십시오.

'PowerJoker'는 각 실행에서 간단한 파워 셀 페이로드를 난독 화하는 PowerShell 스크립트입니다. 스크립트의 모든 실행에서 사용자가 lhost/lport를 입력 한 후 스크립트는 SimplePowershell 코드를 생성하지만 {0/b/f/u/$/c/a/t/3} 방식으로 (현재) Windows Defender/RealTimeProtection을 피할 수 있습니다. 수동으로 변경하는 대신 스크립트는 '알려진'단어를 확인하고 임의의 onces로 대체합니다. 완료되면 .PS 파일을 실행하면 피해자가 알아 차리지 않고 공격자 시스템의 쉘이 발생합니다 (프로세스가 배경을 실행). 참고 : .ps1 파일에 대한 결론을 읽으십시오.

1. 피해자 기계에서 수비수를 켜는 동안 [재미를 위해] 피해자 기계를 켜십시오.
2. git 복제 레포.
3. PIP3 설치 -R 요구 사항 .txt.
4. python3 powerjoker.py -l [로컬 머신] -p [포트].
5. 피해자 기계에서 PowerShell 코드를 실행하고 기다립니다.
   참고 : .PS 파일을 만들어서 스테이션에 관리 권한이 있어야하는 피해자에게 보낼 수 있습니다. .PS 스크립트가 시작되면 관리자 권한으로 실행되며 높은 권한을 부여 할 수 있습니다. 현재로서는 이러한 코드 줄은 단지 의견이지만 원하는대로 수정할 수 있습니다. 소스 내부의 '권한'을 타협하지 않고 원하는 방식으로 연주하십시오. [업데이트를 읽으십시오]
6. 피해자가 그것을 실행하는지 확인하십시오.

AV를 우회하는 방법에 대해 Windows는 계속 알고 있습니다. 지금은 페이로드가 작동하는 것 같습니다. 어떤 이유로 든 대본이 수비수에 의해 쫓겨났다면 알고 싶습니다.

프로세스가 완료되면 피해자는 속은 PowerShell 코드를 실행해야합니다. 그가 할 때, 껍질을 받기 위해 기다립니다. 이제 곧 우회하는 옵션을 더 많이 추가 할 것입니다. 우회 옵션/방법이 더 많지만 다시 매일 바뀔 수 있기 때문입니다. 오늘 작동하는 것은 내일 작동하지 않을 수도 있습니다.

코드가 Base64를 페이로드로 제공하고 Base64 페이로드를 가질 수있는 'privilege.ps1'파일을 생성했습니다. [ 'base64_encoded_command_here']를 Base64 페이로드와 섹션 안에 바꾸면 페이로드 만 사용하여 .ps1을 사용할 수 있습니다.

• PowerJoker는 이제 무작위로 변수와 문자열을 선택할 수 있습니다.
• 이 방법을 사용하면 실시간 보호를 쉽게 피하기가 더 쉽습니다. 저는 현재 새로운 난독 화 기술을 연구하고 있습니다.
  

• 각 실행에 대체 된 단어를 표시하는 기능을 추가하십시오.
• PowerJoker는 임의의 기능을 사용하여 목록에서 픽업합니다.
• 사용자 상호 작용을 위해 코드에 더 많은 기능을 추가하십시오.
• -R 플래그를 사용하면 결과가 원시 모드로 표시됩니다.

• NC와의 자동 청취자.
• 명령이 입력되면 출력 수정.
  이제 생성 된 PS1 파일 내부의 PJ를 결합 할 때 다른 층의 난독 화 층을 사용하면 강력 할 수 있습니다.

• 사용자는 이제 PJ와 상호 작용할 때 고유 한 세션을 유지할 수 있습니다.
• 세션을 시작할 때 사용자는 ID를 입력하여 특정 세션을 선택할 수있는 옵션이 있습니다.
• 세션에 들어가면 "Ctrl+C"를 누르면 사용자가 현재 세션을 일시 중지하고 세션간에 전환 할 수 있습니다.
• "종료"또는 "종료"와 같은 명령은 현재 세션이 종료됩니다. 모든 것을 닫으려면 메뉴에서 "0"을 선택하기 만하면됩니다. 세션 내부에 참고 및 새로운 연결을 얻으면 매달린 것처럼 보이면 'Ctrl + C'를 누르십시오. 다시 돌아와서 원하는 세션을 선택하십시오.

• 더 많은 난독 화 층.
• 참고 : 추가 계층을 찾는 사용자의 경우 최종 페이로드가 멋진 시작이 될 수 있습니다.

• 색상/정보/출력은 훨씬 더 멋지게 향상되었습니다.
• [!!] 참고 : 요구 사항을 설치하는 것을 잊지 마십시오 .txt. 오류가 발생하면 정보를 공유하십시오.
• [+] ngrok 능력. '-n'플래그를 사용하면 사용자는 기본 소켓 연결이있는 로컬 포트를 선택하라는 메시지가 표시됩니다. 예를 들어 'python3 [툴 .py] -l [ngrok.link] -p [ngrok port] -n ngrok'을 사용하면 사용자에게 로컬 포트를 선택하여 ngrok에서 연결을 전달하라는 메시지가 표시됩니다. 물론 서비스에 등록하는 것을 잊지 마십시오.