滲透技巧——Windows系統的賬戶隱藏

滲透技巧——Windows系統的賬戶隱藏

2017-11-28-00:08:55

 0x01 賬戶隱藏的方法

該方法在網上已有相關資料，本節只作簡單復現

測試系統：·Win7 x86/WinXP

一、對註冊表賦予權限

默認註冊表HKEY_LOCAL_MACHINE\SAM\SAM\只有system權限才能修改

如今須要爲其添加管理員權限

右鍵-權限-選中Administrators，容許徹底控制，以下圖：

從新啓動註冊表regedit.exe，得到對該鍵值的修改權限。

二、新建特殊賬戶

net user www$ 123456 /add
net localgroup administrators www$ /add

注：用戶名要以$結尾

添加後，該賬戶可在必定條件下隱藏，輸入net user沒法獲取，以下圖：

可是，在控制面板可以發現該賬戶，以下圖：

三、導出註冊表

在註冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下找到新建的賬戶www$

獲取默認類型爲0x3eb

將註冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\www$導出爲1.reg

在註冊表下可以找到對應類型名稱的註冊表項HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EB

以下圖：

默認狀況下，管理員賬戶Administrator對應的註冊表鍵值爲HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

一樣，右鍵將該鍵導出爲3.reg:

將註冊表項HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EA下鍵F的值替換爲HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4下鍵F的值，即2.reg中鍵F的值替換成3.reg中鍵F的值替換後，以下圖:

四、命令行刪除特殊賬戶

net user test$ /del

五、導入reg文件

regedit /s 1.reg
regedit /s 2.reg

隱藏帳戶製作完成，控制面板不存在賬戶www$

經過net user沒法列出該賬戶

計算機管理-本地用戶和組-用戶也沒法列出該賬戶

但可經過以下方式查看：

沒法經過net user test$ /del刪除該用戶，提示用戶不屬於此組，以下圖:

刪除方法：

刪除註冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下對應賬戶的鍵值(共有兩處)

注：工具HideAdmin能自動實現以上的建立和刪除操做【此工具只適用於Win XP】

0x02 防護

針對隱藏賬戶的利用，查看註冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\便可

固然，默認管理員權限沒法查看，須要分配權限或是提高至Sytem權限

隱藏賬戶的登陸記錄，可經過查看日誌獲取