Windows留后门--教程(一)——Windows系统隐藏账户
一、Windows系统隐藏账户介绍
系统隐藏账户是一种最为简单有效的权限维持方式,其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户,因为是隐藏账户,所以防守方是无法通过控制面板或命令行看到这个账户的。
二、Windows系统添加隐藏账户-教程
前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
环境: windows Server2012 IP: 192.168.226.128
2.1 第一种情况:攻击者控制某台机器,并执行添加用户指令
net user wxiaoge$ w123456! /add #添加hacker$隐藏用户
net localgroup administrators wxiaoge$ /add #将hacker$用户添加进管理员组中
注意一:
此时虽然使用命令行无法看到 wxiaoge$ 隐藏用户,但是采用其它方法仍旧可以发现wxiaoge$ 隐藏用户,为了更好的隐藏新建的账户,还需要进行修改注册表文件操作。
注意二:
1、打开windws server 2012的远程桌面功能
2、需将新创建的隐藏账户 wxiaoge$ 添加在允许远程桌面用户的位置,默认只允许 Administrator,不然隐藏账户 wxiaoge$ 无法登录
3、远程登录隐藏账户 wxiaoge$ 时,账户名是wxiaoge$ 密码是w123456!
查看wxiaoge$ 隐藏用户方法一:
通过 控制面板(控制面板-》用户账户-》管理账户)依然还是可以看到 wxiaoge$ 账户存在的。
查看wxiaoge$ 隐藏用户方法二:
通过管理工具-》计算机管理-》本地用户和组-》用户 依然还是可以看到 wxiaoge$ 账户存在的。
2.2 第二种情况:修改注册表文件
首先打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”,将Administrator用户的权限,设置成“完全控制”,然后重新打开注册表,确保可以看到SAM路径下的文件。
2.2.1 输入命令:regedt32 打开注册表
2.2.2 找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”
2.2.3 将Administrator用户的权限,设置成“完全控制”,
2.2.4 重新打开注册表,确保可以看到SAM路径下的文件
2.2.5 其次前往SAM/Domains/Account/Users/Names处,选择Administrator用户,在右侧的键值处可以找到对应的值如0x1f4,然后从左侧的Users目录下可以找到对应的文件。
2.2.6 然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户wxiaoge$所对应的文件,并将从Administrator文件中复制出来的F值粘贴进 wxiaoge $文件中。
2.2.7 最后将wxiaoge $ 和000003EB从注册表中右键导出,并删除wxiaoge$用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现wxiaoge用户的隐藏。
导出
删除 wxiaoge$ 账户
点击刚刚导出保存的 wxiaoge和3EB,点击之后会自动导入注册表,下图是导入成功的
此时 wxiaoge 隐藏账户在 “控制面板(控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"均未发现,成功隐藏
三、添加Windows系统隐藏账户——应急响应发现
查看注册表,在注册表中 HKEY_LOCAL_MACHINE\SA\SAM\Domains\Account\Users\Names 位置可以看到所有的用户名,将这些用户名与 “控制面板(控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"进行对比,不存在的账户就是隐藏账户
成功发现隐藏账户 wxiaoge
处置方式: 将注册表中的 wxioage$ 账户以及其对应的 000003EB 删除即可删除该后门账户
更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程
收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
Windows留后门--教程(一)——Windows系统隐藏账户相关推荐
- Windows留后门--教程(三)——Windows服务后门
一.Windows服务后门介绍 在Windows系统中还有一个重要的机制,就是服务.通常大部分的服务都拥有SYSTEM权限,如果攻击者利用Windows的服务机制创建一个后门服务,那么这个后门将比一般 ...
- Windows留后门--教程(二)——Windows计划任务后门
一.Windows计划任务后门介绍 计划任务是经常被攻击者拿来利用的控制点,计划任务可以让目标主机在特定的时间执行我们预先准备的后门程序从而帮助我们进行权限维持. 二.Windows计划任务后门-教程 ...
- Windows留后门--教程(五)——shift粘贴键后门
一.shift粘贴键后门介绍 Shift粘滞键是当用户连按5次shift就会自动弹出的一个程序,其实不光是粘滞键,还有各种辅助功能,这类辅助功能都拥有一个特点就是当用户未进行登录时也可以触发.所以攻击 ...
- LINUX留后门--教程(六)—— PAM后门
一.本教程作用 1.用在攻击的途径上 2.应急响应过程中,黑客会留后门,如果你连这种留后门方法都不会,怎么去应急? 不知攻,焉知防 二.PAM后门-教程 前提条件: 假设在攻击的过程中通过利用各种ge ...
- LINUX留后门--教程(七)—— alias 后门
一. alias 简介 alias 命令的功能: 为命令设置别名. 比如: 每次输入 ls 命令的时候都能实现 ls -al alias ls = 'ls -al' 注意: 对于通过ssh远程登录的用 ...
- 渗透测试模拟实战——暴力破解、留后门隐藏账户与shift粘贴键后门、植入WaKuang程序(靶机系统:Windows2008)
本次实验主要是为了应急响应打基础,从攻击者的角度出发,知己知彼,百战不殆 一.环境搭建 靶机: Windwos Server 2008 系统 靶机IP地址: 192.168.226.137 攻击IP地 ...
- 一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)
一.事件背景 某天客户反馈:服务器疑似被入侵,风扇噪声很大.(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Windows2008 系统.IP: 192.1 ...
- php创建windos用户,window_Win7系统创建及开启隐藏账户图文教程, 在电脑操作中有时候因为 - phpStudy...
Win7系统创建及开启隐藏账户图文教程 在电脑操作中有时候因为个人需要就会在电脑上创建一个隐藏账户,隐藏账户就是在控制面板与开机选择中看不见的账户.它可以用输账号密码的方式进入也有着管理员权限.有了隐 ...
- u盘如何安装xp和linux双系统,U盘安装Windows和Ubuntu 15.04双系统图解教程
本文为Ubuntu 15.04安装参考文章,方法是一样的,可做为安装Ubuntu的总体教程,亲测能安装成功. 采用在线升级到Ubuntu 15.04的方法: 从Ubuntu 14.04/Ubuntu ...
最新文章
- 极客新闻——05、如何在工作中学习和成长?
- stm32cubemx生成不了keil工程文件_STM32CubeMX系列教程03_创建并生成代码工程
- verdi windows版本[使用debussy 5.4]
- PCB工艺的一些小原则
- 斯坦福大学机器学习第十课“应用机器学习的建议(Advice for applying machine learning)”
- python从低到高排序_使用python对matplotlib直方图中的xaxis值从最低值到最高值排序...
- Java案例-用户注册邮箱验证将邮箱激活码存入redis功能实现
- Kubernetes 无法删除pod实例的排查过程
- Android开发之RecyclerView嵌套ListView自动计算高度的方法
- Java学习笔记20(String类应用、StringBuffer类、StringBuilder类)
- ThinkPHP第十九天(Ueditor高亮插件、扩展函数载入load、静态缓存)
- 理解String不可变
- Linux 安装flash
- enfp工具箱怎么用_小丸工具箱使用技巧详细图解,值得各位学习
- empty怎么发音_empty怎么读
- 前20位Googler今安在?
- 【已解决】TF_REPEATED_DATA ignoring data with redundant timestamp for frame
- http://jingyan.baidu.com/article/f96699bb8b38e0894e3c1bef.html
- 【计算机网络】知识点整理 第四章 网络层(王道考研视频学习记录)
- heic格式的图片h5显示