新版某狗

在渗透测试中，经常碰到某狗，于是就下载一个最新版的研究研究。以此提高效率~官方提供最新的版本为5.0版本，测试win的服务器，安装以后，把相关安全服务开起来，避免测试不完全。

该开的服务已经开了，安全系数应该还蛮高的了。下一步在msf获取最高的system权限先。

​加入管理员测试

获取到以后尝试添加用户，看看会不会拦截。

添加用户没有拦截，但是添加到管理组就被拦截下来，在系统中看到某狗拦截的日志。

显示拦截成功，那就是拦截呗。

强制杀死进程测试

尝试杀死某狗的进程方法，先查看某狗的进程。

使用taskkill /f /pid pid号强制杀死进程~

发现此操作被阻止了，查资料发现SafeDogGuardCenter.exe 为某狗守护进程，是无法在taskkill 关闭。因此无法用该方法关闭某狗。

尝试删除某狗服务

sc query查询服务,某狗服务为SafeDogGuardCenter。

sc delete SafeDogGuardCenter    //删除某狗这个服务shutdown -r 重启服务器，某狗没有拦截

成功将服务器重启！某狗仍然在运行，但在服务器发现安全防护被自动关闭了。

之后再尝试添加test用户到管理组，成功添加，但某狗相关服务还是存在，但是已经失效。

登录测试。

禁止某狗自启服务

还原后继续尝试禁止某狗自启服务。

sc config SafeDogGuardCenter start= disabledshutdown -r  //重启服务器

直接不给我禁用这个配置，重启也没有意义了，就不重启了~

mimikatz读取密码测试

又换使用CS自带的读取win密码工具，发现也读取不到。

dll 写账户测试

又尝试某位大佬通过将创建用户的dll写入exe，只要运行exe就可以自动添加用户并添加到管理组，从而避开拦截，但是某狗还是拦截了~

Guest开启测试

只能瞄向Guest用户了，还是老样子先开Guest用户。

net user guest /active:yes   //激活

尝试将Guest添加到管理组。

被拦截了，直接登录的话，会提示这样子。

那就通过修改注册表方式，进行操作。

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v limitblankpassworduse /t REG_DWORD /d 0 /f 修改limitblankpassworduse值为0

最后直接登录上去了！用户显示为administrator（前提administrator不在远程桌面登录的情况）~

如果administrator在登录的情况，因为Guest此时的身份跟administrator一样

通过查看administrators组，Guest并没在里面。

修改administrator账号测试

也有人说直接改administrator账号，这肯定是不行的，没某狗还可以。

总结出两种办法可以进行绕过~

来源：freebuf.com 2020-09-23 15:59:36 by: Yudayhack