CobaltStrike插件 - 绕过防护添加用户

2022年10月29日15:55:35评论28 views字数 892阅读2分58秒阅读模式

项目地址：

https://github.com/crisprss/BypassUserAdd

0x01 简介

通过反射DLL注入、Win API、C#、以及底层实现NetUserAdd方式实现BypassAV进行增加用户的功能，实现Cobalt Strike插件化

注：这个项目中有的添加用户方式可能在一些系统上无法使用，最好去测试一下，也可以自己去加些能够绕过防护的其他添加用户方式。

0x02 使用

结合cna使用，直接load cna然后选对应的UserAdd方式即可，可自定义用户名和密码。（我自己加了两种）

注：测试这个项目时发现的一个问题，360也会拦删除用户行为，但如果我们的用户名中带有-时再去删除就不会拦了，也不会拦截Guest来宾用户激活和禁用。

0x03 笔记

暂时先只支持x64，部分代码参考@idiotc4t师傅,非常感谢师傅的分享，主要实现了四种方式：

通过编写反射DLL实现API(NetUserAdd)添加用户通过编写反射DLL实现重新实现NetUserAdd底层封装（主要是利用MS-SAMR）进行用户添加通过微软提供C#利用活动目录创建用户方式,实现内存调用(execute-assembly) 参考：https://docs.microsoft.com/zh-cn/troubleshoot/dotnet/csharp/add-user-local-system通过上传重写NetUserAdd底层实现添加用户的可执行程序实现添加用户

使用过程中第2、4种方式（SelfBuild）设置的用户默认是未启用状态，AV一般不会监控账户启用而会监控账户禁用，因此还需要net user 对应的账户名称 /active:yes