进程参数欺骗这个技术在Hackin’Fest 2018年里有讲过
https://www.youtube.com/watch?v=l8nkXCOYQC4
cs作者在其发布的cs3.13里添加了这个功能,我在这里简单演示一下.
用到了360,Windows日志查看器 and Sysmon以及Windows7
准备木马
然后运行目标上线
直接执行不用想肯定不行
查看一下日志
可以看到它的命令参数就是我们执行的命令
然后我们添加一个参数欺骗
再次执行
可以看到这次360没有进行拦截成功添加了用户
查看一下日志
这里可以看到和我们伪装的参数是一样的
添加到管理员组
查看用户
这里只是作为一个思路毕竟添加用户的方法有很多,你除了可以欺骗net1.exe也可以欺骗reg.exe等等许多程序的命令行
下一次就详细的写一下原理