滲透技巧——Windows系統的帳戶隱藏


滲透技巧——Windows系統的帳戶隱藏

2017-11-28-00:08:55

 0x01 帳戶隱藏的方法

該方法在網上已有相關資料,本節只做簡單復現

測試系統:·Win7 x86/WinXP

1、對注冊表賦予權限

默認注冊表HKEY_LOCAL_MACHINE\SAM\SAM\只有system權限才能修改

現在需要為其添加管理員權限

右鍵-權限-選中Administrators,允許完全控制,如下圖:

重新啟動注冊表regedit.exe,獲得對該鍵值的修改權限。

2、新建特殊帳戶

net user www$ 123456 /add
net localgroup administrators www$ /add

注:用戶名要以$結尾

添加后,該帳戶可在一定條件下隱藏,輸入net user無法獲取,如下圖:

但是,在控制面板能夠發現該帳戶,如下圖:

3、導出注冊表

在注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下找到新建的帳戶www$

獲取默認類型為0x3eb

將注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\www$導出為1.reg

在注冊表下能夠找到對應類型名稱的注冊表項HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EB

如下圖:

默認情況下,管理員帳戶Administrator對應的注冊表鍵值為HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

同樣,右鍵將該鍵導出為3.reg:

將注冊表項HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EA下鍵F的值替換為HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4下鍵F的值,即2.reg中鍵F的值替換成3.reg中鍵F的值替換后,如下圖:

4、命令行刪除特殊帳戶

net user test$ /del

5、導入reg文件

regedit /s 1.reg
regedit /s 2.reg

隱藏賬戶制做完成,控制面板不存在帳戶www$

通過net user無法列出該帳戶

計算機管理-本地用戶和組-用戶也無法列出該帳戶

但可通過如下方式查看:

無法通過net user test$ /del刪除該用戶,提示用戶不屬於此組,如下圖:

刪除方法:

刪除注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下對應帳戶的鍵值(共有兩處)

注:工具HideAdmin能自動實現以上的創建和刪除操作【此工具只適用於Win XP】

0x02 防御

針對隱藏帳戶的利用,查看注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\即可

當然,默認管理員權限無法查看,需要分配權限或是提升至Sytem權限

隱藏帳戶的登錄記錄,可通過查看日志獲取


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM