滲透技巧——Windows系統的帳戶隱藏

2017-11-28-00:08:55

 0x01 帳戶隱藏的方法

該方法在網上已有相關資料，本節只做簡單復現

測試系統：·Win7 x86/WinXP

1、對注冊表賦予權限

默認注冊表HKEY_LOCAL_MACHINE\SAM\SAM\只有system權限才能修改

現在需要為其添加管理員權限

右鍵-權限-選中Administrators，允許完全控制，如下圖：

重新啟動注冊表regedit.exe，獲得對該鍵值的修改權限。

2、新建特殊帳戶

net user www$ 123456 /add
net localgroup administrators www$ /add

注：用戶名要以$結尾

添加后，該帳戶可在一定條件下隱藏，輸入net user無法獲取，如下圖：

但是，在控制面板能夠發現該帳戶，如下圖：

3、導出注冊表

在注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下找到新建的帳戶www$

獲取默認類型為0x3eb

將注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\www$導出為1.reg

在注冊表下能夠找到對應類型名稱的注冊表項HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EB

如下圖：

默認情況下，管理員帳戶Administrator對應的注冊表鍵值為HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

同樣，右鍵將該鍵導出為3.reg:

將注冊表項HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EA下鍵F的值替換為HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4下鍵F的值，即2.reg中鍵F的值替換成3.reg中鍵F的值替換后，如下圖:

4、命令行刪除特殊帳戶

net user test$ /del

5、導入reg文件

regedit /s 1.reg
regedit /s 2.reg

隱藏賬戶制做完成，控制面板不存在帳戶www$

通過net user無法列出該帳戶

計算機管理-本地用戶和組-用戶也無法列出該帳戶

但可通過如下方式查看：

無法通過net user test$ /del刪除該用戶，提示用戶不屬於此組，如下圖:

刪除方法：

刪除注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下對應帳戶的鍵值(共有兩處)

注：工具HideAdmin能自動實現以上的創建和刪除操作【此工具只適用於Win XP】

0x02 防御

針對隱藏帳戶的利用，查看注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\即可

當然，默認管理員權限無法查看，需要分配權限或是提升至Sytem權限

隱藏帳戶的登錄記錄，可通過查看日志獲取