声明:本公众号分享的安全工具和项目均来自互联网,仅提供安全研究和学习使用。若用于其他目的,使用者需要承包所有法律责任及相关连带责任,与本公众号和工具作者无关。特在此声明。
项目简介
通过反射DLL注入、Win API、C#、以及底层实现NetUserAdd方式实现BypassAV进行增加用户的功能,实现Cobalt Strike插件化
使用方式
结合cna使用,直接load cna然后选对应的UserAdd方式即可
总结
暂时先只支持x64
部分代码参考idiotc4t师傅,非常感谢师傅的分享 主要实现了四种方式:
-
通过编写反射DLL实现API(NetUserAdd)添加用户 -
通过编写反射DLL实现重新实现NetUserAdd底层封装(主要是利用MS-SAMR)进行用户添加 -
通过微软提供C#利用活动目录创建用户方式,实现内存调用(execute-assembly) -
通过上传重写NetUserAdd底层实现添加用户的可执行程序实现添加用户
使用过程中第2和4种方式设置的用户默认是未启用状态,AV一般不会监控账户启用而会监控账户禁用,因此还需要net user 对应的账户名称 /active:yes
下载地址
点击下方名称进入公众号
回复关键字【230717】获取下载链接
技术交流加下方vx
原文始发于微信公众号(红蓝公鸡队):添加用户的bof化实现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论