Dovrebbe essere questo il comando corretto:
Non l'ho testato, ma mi sono basato sul funzionamento dell'encoding di Powershell. Per passare un comando codificato alla powershell di Windows si segue questo schema di conversioni: stringa del comando in chiaro --------------> flusso di byte ------------------> stringa in base 64.
Dunque per verificare quale fosse il comando corretto sono partito dalla stringa in base64 ed ho fatto il processo di conversione inverso: stringa in base 64 -----> flusso di byte -----> stringa in chiaro. Se la stringa in base 64 è corretta alla fine delle conversioni dovresti trovare "calc.exe" come risultato. E' giusto il procedimento?
Codice:
powershell.exe -EncodedCommand YwBhAGwAYwAuAGUAeABlAA==
Non l'ho testato, ma mi sono basato sul funzionamento dell'encoding di Powershell. Per passare un comando codificato alla powershell di Windows si segue questo schema di conversioni: stringa del comando in chiaro --------------> flusso di byte ------------------> stringa in base 64.
Dunque per verificare quale fosse il comando corretto sono partito dalla stringa in base64 ed ho fatto il processo di conversione inverso: stringa in base 64 -----> flusso di byte -----> stringa in chiaro. Se la stringa in base 64 è corretta alla fine delle conversioni dovresti trovare "calc.exe" come risultato. E' giusto il procedimento?