标签 Cobalt Strike的argue参数 下的文章

argue参数污染

使用adminstrator或system权限

Use:

argue [command] [fake arguments]

注意:fake arguments应该比真实的要长

示例1:powershell一句话上线

直接运行powershell.exe一句话上线命令,会直接被360拦截

1.png

使用processmonitor检查,发现是传递的是真实参数

2.png

使用cobalt strike的argue参数污染:

argue powershell.exe xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

再运行argue,检查污染结果

3.png

execute执行powershell.exe(shell命令不会成功,因为shell本质是cmd.exe /c arguments)

4.png

使用processmonitor检查,发现参数污染成功,且360未拦截powershell.exe

5.png

成功上线!

6.png

示例2:添加guest后门

首先查看guest用户组权限为Guests

7.png

添加guest为administrators组,发现被360拦截

8.png

使用argue参数污染net1程序(注意是net1,而不是net,因为net还是会把真正的参数传递给net1的)

9.png

在cobaltstrike上使用execute添加guest到administrators组

10.png

检查processmonitor发现参数污染成功,且360未拦截

11.png

成功添加guest到administrators组

12.png

不依赖CobaltStrike,使用其他argue参数污染工具可以达到同样的效果。