添加用户时,会触发防火墙,启用guest用户并且追加到administrators组时,不会触发防火墙

绕过WAF获取账号

假设存在如下场景:

目标主机3389以允许外联,我们已经是system权限,眼下我们只需要知道一个账号密码即可3389登录目标主机。

可以看到,当我们使用system权限添加用户时,火绒已经进行了拦截

但是当我们启用guest用户并且将其添加到administrators组中时,整个流程并未拦截

因此我们可以直接启用guest用户来进行登录

留做后门

使用guest用户作为后门,可以更加隐蔽

给guest用户添加密码

net user guest PASSWORd