0x01 前言

在渗透测试中，针对Windows服务器获取webshell后一般会考虑新建管理员账号（当然某些情况下可以直接读密码）登录rdp方便渗透。目前来说，常见的使用net user（包括激活guest）以及复制net.exe重命名的方式大概率要被拦截，所以考虑自己做个免杀的exe来添加用户。

0x02 使用的相关函数

查阅资料发现在微软官方api介绍文档中，有两个函数值得关注

• NetUserAdd 函数: NetUserAdd 函数添加用户帐户并分配密码和特权级别。即可以用这个函数实现系统账号添加。
• NetLocalGroupAddMembers 函数： NetLocalGroupAddMembers 函数将一个或多个现有用户帐户或全局组帐户的成员身份添加到现有本地组。 函数不会更改当前是本地组成员的用户或全局组的成员身份状态。 这两个函数是Windows官方API，调用它们不像执行net user 这种命令那样明显，不容易被安全软件拦截或标记为恶意行为。而且我们可以写代码灵活控制，那么接下来就用这两个函数尝试一下生成一个exe。

0x03 NetUserAdd 函数

这个函数就像我们在“控制面板”里点“添加新用户”一样，NetUserAdd是给程序员用的“添加用户”的工具，它可以让程序通过代码方式，自动在系统里加一个用户，并设定用户名、密码、权限等信息。

c++语法

NET_API_STATUS NET_API_FUNCTION NetUserAdd(  [in]  LPCWSTR servername,  [in]  DWORD   level,  [in]  LPBYTE  buf,  [out] LPDWORD parm_err);

参数

• [in] servername

指向常量字符串的指针，该字符串指定要对其执行函数的远程服务器的 DNS 或 NetBIOS 名称。 如果此参数为 NULL，则使用本地计算机。

如果定义了 _WIN32_WINNT 或 FORCE_UNICODE ，则此字符串为 Unicode。

• [in] level 指定数据的信息级别。 此参数的取值可为下列值之一：

• [in] buf

指向指定数据的缓冲区的指针。 此数据的格式取决于 级别 参数的值。

• [out] parm_err

指向一个值的指针，该值接收导致ERROR_INVALID_PARAMETER的用户信息结构第一个成员的索引。 如果此参数为 NULL，则错误时不会返回索引。

返回值

如果函数成功，则返回值NERR_Success。

在python中的函数原型定义

netapi32.NetUserAdd.argtypes = [    wintypes.LPWSTR,  # servername    wintypes.DWORD,   # level    ctypes.POINTER(USER_INFO_1),  # buf    wintypes.PDWORD   # parm_err]netapi32.NetUserAdd.restype = wintypes.DWORD

0x04 NetLocalGroupAddMembers 函数

NetLocalGroupAddMembers 是用来把用户加入到某个本地用户组里的。 通俗来说Windows 里有“管理员”、“普通用户”等用户组，这个函数就像是帮我们把某个用户加入到某个组，让他拥有那个组对应的权限。 比如我们用 NetUserAdd 创建了个用户叫 testuser，再用 NetLocalGroupAddMembers 把他加进 “Administrators” 组，那这个用户就有管理员权限了。

c++语法

NET_API_STATUS NET_API_FUNCTION NetLocalGroupAddMembers(  [in] LPCWSTR servername,  [in] LPCWSTR groupname,  [in] DWORD   level,  [in] LPBYTE  buf,  [in] DWORD   totalentries);

参数

• [in] servername 指向常量字符串的指针，该字符串指定要对其执行函数的远程服务器的 DNS 或 NetBIOS 名称。 如果此参数为 NULL，则使用本地计算机。
• [in] groupname 指向常量字符串的指针，该字符串指定指定用户或全局组将添加到的本地组的名称。
• [in] level 指定数据的信息级别。 此参数的取值可为下列值之一：

• [in] buf 指向缓冲区的指针，该缓冲区包含新本地组成员的数据。 此数据的格式取决于 级别 参数的值。
• [in] totalentries 指定 buf 参数指向的缓冲区中的条目数。

返回值

如果函数成功，则返回值NERR_Success。

在python中的函数原型定义

netapi32.NetLocalGroupAddMembers.argtypes = [    wintypes.LPWSTR,  # servername    wintypes.LPWSTR,  # groupname    wintypes.DWORD,   # level    ctypes.POINTER(LOCALGROUP_MEMBERS_INFO_3),  # buf    wintypes.DWORD    # totalentries]netapi32.NetLocalGroupAddMembers.restype = wintypes.DWORD

0x05 利用python实现调用api创建账户

通过学习微软官方介绍文档，我们可以尝试使用python在Windows 系统上创建一个管理员用户。 根据资料，上文中提到的NetUserAdd和NetLocalGroupAddMembers位于 netapi32.dll中，该dll文件是 Windows 系统中的一个重要动态链接库，它提供了网络管理相关的 API 函数。它具备一些用户管理功能： NetUserAdd: 用于创建新的用户账户 NetLocalGroupAddMembers: 用于将用户添加到本地组（如管理员组），那么我们可以利用该文件中的函数来管理用户和组。 我们可以尝试利用python实现一下上面两个函数的相关功能。 创建用户的代码：添加到管理员组：

0x06 适当增加免杀技术

除了上文代码中已经体现的添加随机延迟外，我们可以再适当增加一些免杀技术，比如字符串混淆、进程名随机化等等。

字符串混淆：

字符串混淆非常重要，是免杀的“基本功”，否则杀软或逆向时可直接检查到可执行文件中的敏感字符串。

进程名随机：

使用进程名随机可以绕过杀软白名单机制，如果我们用固定进程名打包，杀软可通过哈希、路径、文件名等特征识别，随机名就打乱了这种匹配。

增加一些反调试技术

如果不增加一些反调试技术，那么如果遇到杀软或人工分析时，可以轻易看到程序调用了NetUserAdd、NetLocalGroupAddMembers，再结合行为判断就可能查杀。

0x07 生成exe测试

现在让我们打包py脚本测试一下生成的exe能否正常运行 对于某绒的免杀效果还是可以的对于某数字的免杀效果可过静态但被行为拦截了，还是有待改进~

0x08 参考资料

https://learn.microsoft.com/zh-cn/windows/win32/api/lmaccess/nf-lmaccess-netuseradd 

https://learn.microsoft.com/zh-cn/windows/win32/api/lmaccess/ns-lmaccess-localgroup_members_info_3 

https://github.com/newsoft/adduser