滲透技巧——Windows系統的帳戶隱藏
2017-11-28-00:08:55
0x01 帳戶隱藏的方法
該方法在網上已有相關資料,本節只做簡單復現
測試系統:·Win7 x86/WinXP
1、對注冊表賦予權限
默認注冊表HKEY_LOCAL_MACHINE\SAM\SAM\只有system權限才能修改
現在需要為其添加管理員權限
右鍵-權限-選中Administrators,允許完全控制,如下圖:
重新啟動注冊表regedit.exe,獲得對該鍵值的修改權限。
2、新建特殊帳戶
net user www$ 123456 /add net localgroup administrators www$ /add
注:用戶名要以$結尾
添加后,該帳戶可在一定條件下隱藏,輸入net user無法獲取,如下圖:
但是,在控制面板能夠發現該帳戶,如下圖:
3、導出注冊表
在注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下找到新建的帳戶www$
獲取默認類型為0x3eb
將注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\www$導出為1.reg
在注冊表下能夠找到對應類型名稱的注冊表項HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EB
如下圖:
默認情況下,管理員帳戶Administrator對應的注冊表鍵值為HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
同樣,右鍵將該鍵導出為3.reg:
將注冊表項HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EA下鍵F的值替換為HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4下鍵F的值,即2.reg中鍵F的值替換成3.reg中鍵F的值替換后,如下圖:
4、命令行刪除特殊帳戶
net user test$ /del
5、導入reg文件
regedit /s 1.reg regedit /s 2.reg
隱藏賬戶制做完成,控制面板不存在帳戶www$
通過net user無法列出該帳戶
計算機管理-本地用戶和組-用戶也無法列出該帳戶
但可通過如下方式查看:
無法通過net user test$ /del刪除該用戶,提示用戶不屬於此組,如下圖:
刪除方法:
刪除注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下對應帳戶的鍵值(共有兩處)
注:工具HideAdmin能自動實現以上的創建和刪除操作【此工具只適用於Win XP】
0x02 防御
針對隱藏帳戶的利用,查看注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\即可
當然,默認管理員權限無法查看,需要分配權限或是提升至Sytem權限
隱藏帳戶的登錄記錄,可通過查看日志獲取