分享个CobaltStrike插件 Bypass防护添加用户(附下载)
2022-10-31 12:49:36 Author: LemonSec(查看原文) 阅读量:23 收藏

项目地址:

https://github.com/crisprss/BypassUserAdd

0x01 简介
通过反射DLL注入、Win API、C#、以及底层实现NetUserAdd方式实现BypassAV进行增加用户的功能,实现Cobalt Strike插件化
注:这个项目中有的添加用户方式可能在一些系统上无法使用,最好去测试一下,也可以自己去加些能够绕过防护的其他添加用户方式。
0x02 使用
结合cna使用,直接load cna然后选对应的UserAdd方式即可,可自定义用户名和密码。(我自己加了两种
注:测试这个项目时发现的一个问题,360也会拦删除用户行为,但如果我们的用户名中带有-时再去删除就不会拦了,也不会拦截Guest来宾用户激活和禁用。
0x03 笔记
暂时先只支持x64,部分代码参考@idiotc4t师傅,非常感谢师傅的分享,主要实现了四种方式:
通过编写反射DLL实现API(NetUserAdd)添加用户通过编写反射DLL实现重新实现NetUserAdd底层封装(主要是利用MS-SAMR)进行用户添加通过微软提供C#利用活动目录创建用户方式,实现内存调用(execute-assembly) 参考:https://docs.microsoft.com/zh-cn/troubleshoot/dotnet/csharp/add-user-local-system通过上传重写NetUserAdd底层实现添加用户的可执行程序实现添加用户
使用过程中第2、4种方式(SelfBuild)设置的用户默认是未启用状态,AV一般不会监控账户启用而会监控账户禁用,因此还需要net user 对应的账户名称 /active:yes
侵权请私聊公众号删文

 热文推荐  

欢迎关注LemonSec
觉得不错点个“赞”、“在看“

文章来源: http://mp.weixin.qq.com/s?__biz=MzUyMTA0MjQ4NA==&mid=2247537033&idx=1&sn=46665da58fb71e0c31d033f7b938bac3&chksm=f9e33ed2ce94b7c4ce1264ffa85c24d438227b692670f21ac671476ebc0ba32f5978583729f9#rd
如有侵权请联系:admin#unsafe.sh