「攻防对抗」绕过杀软添加用户和计划任务(360核晶模式)插图

前言

通常情况下直接执行cmd命令来添加用户或者计划任务都会被杀软拦截,我总结两种方法来绕过杀软的检测,分别是调用Windows Api(编写CS bof)或者执行Powershell脚本(通过模拟powershell环境的程序来执行)

添加用户

拦截情景

在开启360核晶模式的环境下,在UI界面执行添加用户的命令都会被拦截

image-20230719165242670

更别说是在beacon命令行界面执行添加用户命令了,这里我分别尝试使用shell命令和run命令来添加用户,均被核晶拦截了

shell命令:此命令允许你执行Windows命令提示符(cmd.exe)中的任何命令。执行的命令将在命令提示符中运行,并将其输出返回给CobaltStrike。这是一个交互式命令,意味着你可以在输出返回后立即输入下一个命令

run命令:此命令用于在新的进程中运行程序或命令。与shell命令不同,它只是启动新的进程并返回。

image-20230719172245374
image-20230719172254551

绕过方法

1.CS bof

在Windows API中,有一些函数用于处理网络用户和本地组的管理。NetUserAdd() 函数用于在一个服务器上创建一个新用户,而 NetLocalGroupAdd() 函数可以用于在一个本地服务器上创建一个新的用户组

包含插件绕过与代码绕过,均在核晶环境下,关注「Hacker之家」即可免费获取

白嫖赞助¥9.90
精彩内容已有8人解锁查看
已付费?登录刷新

添加计划任务

拦截情景

beacon命令行执行shell命令来添加计划任务,直接被核晶拦截

schtasks /create /tn "My Task" /tr "C:\MyApp.exe" /sc daily /st 10:00
image-20230719204529199

绕过方法

1.CS bof

在Windows api中,你可以使用 Task Scheduler (任务计划程序)API 来创建和管理计划任务。任务计划程序 API 是一组 COM 接口,你可以通过各种编程语言(如 C++,C#,VBScript 等)来使用它

CobaltStrike有个叫Bof的功能,它允许你使用C语言来扩展Beacon的功能,运行时可以直接加载到内存中并执行,因此可以通过编写创建计划任务的bof来绕过一些杀软的检测

核晶模式下的插件绕过和代码绕过,关注「Hacker之家」即可免费获取

白嫖赞助¥29.90
精彩内容已有30人解锁查看
已付费?登录刷新

运行效果如下图所示:

image-20230721150156077