waf绕过之——waf创建账号绕过

waf绕过之——waf创建账号绕过

WAF创建账号绕过

除此之外要注意的，在有了webshell权限后在敏感操作（一些命令）时，例如360会有提示警告

解决

先取本地明文密码哈希值

			工具lazagnegetpassKIWICMD可能可以读到web站点中间件的IUSER账户（默认的匿名访问）

采用注册表导入导出的方法

			两个注册表内容是是权限和密码也就是把管理员权限给一个咱们自己创建的知道密码的账户

一、注册表导出

命令行导出：
regedit /e c: HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers00001F4
安静模式导入：regedit /s c:

注册表相关操作可查看：.html

查看3389端口

先导出

regedit /e c:\ "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"

然后
查看导出的文件，再用find查带这个PortNumber字段的3389端口

type c:\ | find "PortNumber"

二、建立隐藏帐号

1、CMD命令行下，建立了一个用户名为“test$”，密码为“abc123!”的简单隐藏账户,并且把该隐藏账户提升为了管理员权限。
PS:CMD命令行使用"net user",看不到"test$"这个账号，但在控制面板和本地用户和组是可以显示此用户的。
2、“开始”→“运行”，输入“<”后回车,需要到“HKEY_LOCAL_MACHINESAMSAM”，单机右建权限，把名叫：administrator的用户给予：完全控制以及读取的权限，在后面打勾就行，然后关闭注册表编辑器，再次打开即可。
3、来到注册表编辑器的“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”处，点击test$用户，得到在右边显示的键值中的“类型”一项显示为0x3ec，找到箭头所指目录。
4、扎到administrator所对应的的项为“000001F4”，将“000001F4”的F值复制到“000003EC”的F值中，保存。
5、分别test$和“000003EC导出到桌面，删除test$用户 net user test$ /del

6、将刚才导出的两个后缀为.reg的注册表项导入注册表中。这样所谓的隐藏账户就创建好了。
使用D盾web查杀工具，使用克隆账号检测功能进行查看，可检测出隐藏、克隆账号，如果查不出来，可以克隆中间件帐号

补充

现在很多的木马，运行过程中，以一些启动项的形式（msconfig），或者以服务方式加载，以驱动方式加载，以注册表加载，这里面都是杀毒软件在时刻监听，一运行就会报警，因此，现在比较先进的木马，都是先拆分开，绑定注册表，分多次执行木马，运行之后的木马再导入注册表（WINRAR高级功能中就可以实现）