添加用户和计划任务(Bypass)

前言

通常情况下直接执行cmd命令来添加用户或者计划任务都会被杀软拦截，我总结两种方法来绕过杀软的检测，分别是调用Windows Api(编写CS bof)或者执行Powershell脚本(通过模拟powershell环境的程序来执行)

添加用户

拦截情景

在开启360核晶模式的环境下，在UI界面执行添加用户的命令都会被拦截

更别说是在beacon命令行界面执行添加用户命令了，这里我分别尝试使用shell命令和run命令来添加用户，均被核晶拦截了

shell命令：此命令允许你执行Windows命令提示符（cmd.exe）中的任何命令。执行的命令将在命令提示符中运行，并将其输出返回给CobaltStrike。这是一个交互式命令，意味着你可以在输出返回后立即输入下一个命令

run命令：此命令用于在新的进程中运行程序或命令。与shell命令不同，它只是启动新的进程并返回。

绕过方法

1.CS bof

在Windows API中，有一些函数用于处理网络用户和本地组的管理。NetUserAdd() 函数用于在一个服务器上创建一个新用户，而 NetLocalGroupAdd() 函数可以用于在一个本地服务器上创建一个新的用户组

此CS插件整合了添加用户的API，并通过反射dll注入的方式实现无文件落地执行，github项目地址：https://github.com/crisprss/BypassUserAdd

首先确定beacon进程拥有system权限，这里我使用此插件添加用户的第一个方法Reflection NetUserAdd，随后输入添加用户名及密码

运行成功后在beacon命令行会提示

核晶全程没有查杀，cmd命令行输入net user可以发现user4用户添加成功了

2.Powershell脚本

以下是添加用户的Powershell脚本

以下是执行powershell脚本的效果图：

​

添加计划任务

拦截情景

beacon命令行执行shell命令来添加计划任务，直接被核晶拦截

绕过方法

1.CS bof

在Windows api中，你可以使用 Task Scheduler （任务计划程序）API 来创建和管理计划任务。任务计划程序 API 是一组 COM 接口，你可以通过各种编程语言（如 C++，C#，VBScript 等）来使用它

CobaltStrike有个叫Bof的功能，它允许你使用C语言来扩展Beacon的功能，运行时可以直接加载到内存中并执行，因此可以通过编写创建计划任务的bof来绕过一些杀软的检测 此处github上有现成的项目：https://github.com/yanghaoi/CobaltStrike_CNA

加载github项目的插件后，鼠标右键上线会话，Persistence->计划任务->Add-TaskAPI, 通过调用Windows API来添加计划任务

设置添加计划任务的详细信息

添加计划任务后, 会在Beacon命令行提示任务创建成功

查看目标主机的计划任务列表，可以看到计划任务添加成功了，并且360核晶全程没有报毒

2.PowerShell脚本

配合模拟powershell环境的可执行程序执行ps1脚本，以此实现添加计划任务，如下是添加计划任务的ps1脚本代码

运行效果如下图所示：