BypassUserAdd
通过反射DLL注入、Win API、C#、以及底层实现NetUserAdd方式实现BypassAV进行增加用户的功能,实现Cobalt Strike插件化
Install / Use
/learn @crisprss/BypassUserAddREADME
BypassUserAdd
Subscription
通过反射DLL注入、Win API、C#、以及底层实现NetUserAdd方式实现BypassAV进行增加用户的功能,实现Cobalt Strike插件化
Usage
结合cna使用,直接load cna然后选对应的UserAdd方式即可
Note
暂时先只支持x64
部分代码参考idiotc4t师傅,非常感谢师傅的分享 主要实现了四种方式:
-
- 通过编写反射DLL实现API(NetUserAdd)添加用户
-
- 通过编写反射DLL实现重新实现NetUserAdd底层封装(主要是利用MS-SAMR)进行用户添加
-
- 通过微软提供C#利用活动目录创建用户方式,实现内存调用(execute-assembly) 参考:https://docs.microsoft.com/zh-cn/troubleshoot/dotnet/csharp/add-user-local-system
-
- 通过上传重写NetUserAdd底层实现添加用户的可执行程序实现添加用户
使用过程中第2和4种方式设置的用户默认是未启用状态,AV一般不会监控账户启用而会监控账户禁用,因此还需要net user 对应的账户名称 /active:yes
Related Skills
node-connect
345.4kDiagnose OpenClaw node connection and pairing failures for Android, iOS, and macOS companion apps
frontend-design
104.6kCreate distinctive, production-grade frontend interfaces with high design quality. Use this skill when the user asks to build web components, pages, or applications. Generates creative, polished code that avoids generic AI aesthetics.
openai-whisper-api
345.4kTranscribe audio via OpenAI Audio Transcriptions API (Whisper).
qqbot-media
345.4kQQBot 富媒体收发能力。使用 <qqmedia> 标签,系统根据文件扩展名自动识别类型(图片/语音/视频/文件)。
