CobaltStrike插件 - 绕过防护添加用户
2022-10-24 08:9:3 Author: 系统安全运维(查看原文) 阅读量:55 收藏

项目地址:
https://github.com/crisprss/BypassUserAdd
0x01 简介
通过反射DLL注入、Win API、C#、以及底层实现NetUserAdd方式实现BypassAV进行增加用户的功能,实现Cobalt Strike插件化
注:这个项目中有的添加用户方式可能在一些系统上无法使用,最好去测试一下,也可以自己去加些能够绕过防护的其他添加用户方式。
0x02 使用
结合cna使用,直接load cna然后选对应的UserAdd方式即可,可自定义用户名和密码。(我自己加了两种
注:测试这个项目时发现的一个问题,360也会拦删除用户行为,但如果我们的用户名中带有-时再去删除就不会拦了,也不会拦截Guest来宾用户激活和禁用。
0x03 笔记
暂时先只支持x64,部分代码参考@idiotc4t师傅,非常感谢师傅的分享,主要实现了四种方式:
通过编写反射DLL实现API(NetUserAdd)添加用户通过编写反射DLL实现重新实现NetUserAdd底层封装(主要是利用MS-SAMR)进行用户添加通过微软提供C#利用活动目录创建用户方式,实现内存调用(execute-assembly) 参考:https://docs.microsoft.com/zh-cn/troubleshoot/dotnet/csharp/add-user-local-system通过上传重写NetUserAdd底层实现添加用户的可执行程序实现添加用户
使用过程中第2、4种方式(SelfBuild)设置的用户默认是未启用状态,AV一般不会监控账户启用而会监控账户禁用,因此还需要net user 对应的账户名称 /active:yes

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247511414&idx=2&sn=3f21689f3a92381fab2fd67bd8bc5baf&chksm=c3087e06f47ff71021520d67abfa88de3e29c642ccc85067feec9e1bdefe539dc095e4e3bc60#rd
如有侵权请联系:admin#unsafe.sh