「渗透技巧」添加 administrator 影子用户

简介: 「渗透技巧」添加 administrator 影子用户

   此篇文章为知识星球内小伙子 @墨子辰 师傅所写的,是一个比较好的知识点并且也比较基础。所以拿出来供大家参考学习一下。

(别问我为什么不最近更新文章,问就是太忙了

   下面也是原汁原味,我没有任何修改,直接就是说疯狂的复制就是说


前言

   本篇文章在实战中意义不是很大,在有授权的情况下没必要预留后门,在搞事情的情况下就各取所需了。

   添加隐藏用户网上也有很多帖子,但是百看不如一练,对于我来说,只有上手做过的东西才是自己的,再怎么看文章,不上手练都是没啥用处。“看了就会,我有我就会”这种要 不得,要不得~~~

   之所以写一期“影子用户”是今天在梳理内网攻击流程和手法的时候,想到一个场景。在拿到一台“僵尸”机器,想留在手中 还不容易被发现的情况下,如何做一个后门。

   添加“影子”用户条件比较苛刻,而且在正常的 hvv 中或者演练情况下,它是价值不高的,除非你特别想留一个后门。

利用条件

  1. 拥有一个最高权限的用户
  2. 非常想预留后门

正题

   拿到一台权限足够高(Administrator)的用户时,添加一个普通用户并且加入到管理员组中。

net user test$ test1 /add

   添加隐藏账号($符添加时 , 只是在 net user 中无法查看到当前用户 ,而在 net localgroup administrators 中是可以看到的)

添加完成后,在登入界面一样是可以看见用户的。

隐藏用户:

1、权限设置

接下来就是重点,win + R 输入regedit。找到HKEY_LOCAL_MACHINE\SAM\SAM

右击 SAM 赋予Administrators 完全控制和读取权限,保存后刷新。

2、导出数据

进入到:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

找到添加的用户,对应的类型0x3eb -->>000003EB

将两个文件保存为***.reg

以上两个文件夹都导出之后,将添加的用户删除掉,然后刷新net user test$ /del

3、导入数据

然后导入刚刚导出的两个文件

   导入完成如下所示(一定不要偷懒的认为前面添加进去就有,没必要导出导入,如果没有导出导入的话,net user,net localgroup administrators能够看到添加的用户):

4、设置“影子”

   最为重要的在下面,找到一个能够正常远程登入的用户,复制它的 F 值,放入到我们添加用户的对应 F 值里面

“影子”验证

上面两个图能够看见,如果不查看注册表是发现不了多了一个用户的。

能够正常连接上去,而且连接上去后,就是我们复制 F 值的那个账户

我们将 Tom 用户进行密码修改,然后再来远程连接 test$账户。

net user Tom Tom,修改密码任意就好,一定得自己记得(到时候玩崩了我可不负责, ~~~~哈哈哈)

   我们依旧是 test$ test1 登入上去,依旧是 Tom 用户。这就完美的设定了一个 Tom 的影 子用户,不管 Tom 密码怎么改,我们依旧可以登入成功。

   虽然我们的隐藏账户已经在“命令提示符”中隐藏了,但是系统管理员仍可能通过注册 表编辑器删除我们的隐藏账户。

   我们通过打开regedt32.exe,来到HKEY_LOCAL_MACHINESAMSAM处,设置SAM”项的权限 ,将 administrators所拥有的权限全部取消即可 。当真正的管理员想对 HKEY_LOCAL_MACHINESAMSAM下面的项进行操作的时候将会发生错误,而且无法通过 regedt32.exe再次赋予权限。

防御手段

1、对于用”$”添加的用户,我们用net localgroup administrator 就能够发现。

2、修改注册表类型的隐藏手段,我们访问注册表

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names就能够发现。

3、对于将权限设置,导致管理员无法访问\Domains\Account\Users\Names,我们可以借助 组策略的帮助。点击“开始”→“运行”,输入“gpedit.msc”运行“组策略”,依次展开 “计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略” ,双击 右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件” 和“审核过程追踪”进行相同的设置。进行登陆审核后,可以对任何账户的登 陆操作进行记录,包括隐藏账户,这样我们就可以通过“计算机管理”中的“事件查看器” 准确得知隐藏账户的名称、登陆的时间。通过net user test$ 密码 的方式修改用户密码,

这样可以有效防止。

总结

   添加“影子”用户的方法权限要求比较高,在实战中实用性不大,相对来说风险较高。

   如果不是特别需要,最好是搞完事情就留,就像是万花丛中过,片叶不沾身。

xdm 文章质量不是很高,但是学多一点总没有坏处。

相关文章
|
SQL 供应链 安全
泛微E-Cology ofsLogin任意用户登陆漏洞
泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
786 1
泛微E-Cology ofsLogin任意用户登陆漏洞
|
3月前
|
监控 安全
OT安全实现问题之企业对帐户安全问题如何解决
OT安全实现问题之企业对帐户安全问题如何解决
23 0
|
安全 Shell API
绕过反病毒添加管理员用户小结
绕过反病毒添加管理员用户小结
179 0
绕过反病毒添加管理员用户小结
|
安全 搜索推荐 PHP
记某网络安全设备逻辑缺陷导致的getshell
记某网络安全设备逻辑缺陷导致的getshell
95 0
|
安全 数据库 数据安全/隐私保护
信息周刊:随意设置电脑密码存在安全隐患
据美国出版的最新一期《信息周刊》披露,不少电脑用户在设置电脑密码时太过随意,这给电脑黑客窃取个人信息提供了便利。 据报道,最近美国一家名为phpbb.com的电脑程序网站的数据库被黑客入侵,2万名用户的密码被窃。
902 0
洲际远程打击之锁定用户登录
 楔子 月光色 女子香 泪断剑 情多长 。 作为运维人员一定要保持自己的操守和底线 。 昨天做的测试服务器做好了,可是今天早晨一来到公司发现被改了。所以看到门户网站被改时,你一定要查找真凶,做福尔摩斯。
903 0
|
JavaScript 安全 API
趋势杀毒曝远程执行漏洞 可盗取用户所有密码
本文讲的是趋势杀毒曝远程执行漏洞 可盗取用户所有密码,谷歌著名安全研究员提供进一步证据证明杀毒软件有时也是黑客入侵的渠道。
1131 0