Windows安全之账号克隆

账号策略

技术小贴
技术小贴

Windows中SID是标识用户、组和计算机账户的唯一号码。

使用工具getsid.exe进行获取管理员和普通用户的sid:

D:>getsid \localhost administrator \localhost guest
The SID for account administrator is S-1-5-21-1016001505-1879700474-349203625-500
The SID for account guest is S-1-5-21-1016001505-1879700474-349203625-501

Guset来宾用户一般是禁用状态,容易被克隆成管理员。

账号克隆

在Windows操作系统中通过对注册表的HKEY_LOCAL_MACHINESAMDomainsAccountUsers下的子键进行操作(需要System权限)使一个普通用户具有与管理员一样的桌面和权限,这样的用户就叫做克隆账号!

在日常查看这个用户会显示它的正常属性,例如Guest用户被克隆后,当管理员查看的时候,他还是属于guest组,如果是禁用状态,显示禁用状态,但登入系统后却是管理员权限!

新建用户

net user test$ 123.com /add
#加一个$表示是隐藏的用户

查看用户

此时net user查看不到test$用户

但是在用户组和注册表中查看test$用户是存在的,因此这种隐藏账户的方法并不是很实用!

Windows安全之账号克隆

导出注册表

打开DOS命令运行框,输入regedit命令进入到注册表,找到注册表下面的SAM文件夹,如果打不开请要修改administrator的权限,修改权限为完全控制然后打开SAM文件找到每个用户对应的带有注册信息的文件。

路径为:HKEY_LOCAL_MACHINESAMSAMDomainsUsers

Windows安全之账号克隆

将项test$、000001F4、000003F1导出为test.reg、000001F4.reg、000003F1.reg

编辑000003F1.reg,将其对应的F值替换为000001F4的F值,实现账号克隆!

Windows安全之账号克隆

删除用户

D:>net user test$ /del

导入注册表

导入test.reg和000003F1.reg,到这里test$用户就有administrator的权限了!

查看用户

此时在用户组中查看test$用户是不存在的,但是在注册表中依然存在!

ps:重启后,用户组中也会出现test$账号,但服务器一般不会重启,故233!

Windows安全之账号克隆

远程登陆

使用test$ : 123.com远程登陆!

Windows安全之账号克隆

登陆成功后的桌面和administrator的桌面是一致的!

Windows安全之账号克隆

防范

入侵者在系统中对账号进行了克隆,一般克隆系统中已经存在的账号,此时通过net user、net localgroup administrators等命令看不到克隆的账户。

如果系统开启了远程终端,则入侵者可以通过克隆账号登陆系统。

非常规检查主要通过”本地管理员检查工具”来检查,程序会自动以图形化界面显示系统中存在的账号,并给出相应的提示,一般显示为影子管理员!

Windows安全之账号克隆

后话

我们新建一个test$用户,只是为了演示效果,实际利用中常常克隆系统自带的用户,如Administrator、Guest等!

原创文章,作者:小嵘源码,如若转载,请注明出处:https://www.lcpttec.com/windowsaq/

(1)
上一篇 2019年9月30日 下午2:56
下一篇 2019年9月30日 下午3:20

相关推荐

  • Linux命令

    查看 uname 查看系统相关信息 常用命令选项 -a: 显示主机名、内核版本、硬件平台等详细信息 -r: 显示内核版本 示例 [root@rh-6 ~]# uname -r 2.6.32-220.el6.i686 查看CPU信息 /proc/cpuinfo 示例 [root@rh-6 ~]# cat /proc/cpuinfo processor : 0 …

    2019年9月30日
    1.7K0
  • 推荐好使的在线检测网站工具

    这次,小编来给大家 “推荐好使的在线检测网站工具”。 1. HTML Validatorvalidator.w3.org/网页结构检测工具,支持HTML, XHTML, SMIL, MathML…….2. CSS Validatorjigsaw.w3.org/css-validator/CSS验证。3. Links Validatorvalidator.w3…

    2019年11月16日
    1.2K0
  • 插件机器人椎名真白(博客通用版)

    这次小编来介绍另外一款插件机器人:“插件机器人椎名真白(博客通用版)”。大家一起动手,把自己的博客装饰得更好看,更有趣吧。 关于Live2d的插件机器人椎名真白 在原先的基础上加上了如下功能:1.可以基于图灵机器人的聊天功能(需要自己写接口,默认隐藏)。2.能够随意移动并记录位置(关闭浏览器后失效)。3.能够随意唤醒或者关闭并记录状态。4.自动判断浏览器是否…

    2020年2月11日
    3.0K1
  • 信息安全实验

    Day1 开班总结 以企业管理的要求约束自己:自律、慎独 做好自己,帮助他人,乐于分享,团队合作 团队 团队4人 课程计划 安装Centos7 远程访问配置 LAMP搭建与Linux+Tomacat+mysql搭建js的环境 通过shell运维网站 部署zabbix实时监控网站及服务器 部署IDS(snort)入侵检测系统 对上述网站进行渗透测试和漏洞修复 …

    2019年9月26日
    2.4K0
  • About A Blog

    博客的搭建 环境安装 安装git 安装node.js 安装hexo ​ npm install -g hexo-cli 测试是否成功安装 $ hexo -v hexo: 3.4.2 生成博客雏形 cd进入一个博客的目录,如D:My Blog 初始化博客 ​ hexo init hexo会将这个文件夹初始化成一个博客专用文件夹,生成过程稍微要点时间,耐心等待。…

    2019年9月30日
    2.0K0
  • Linux服务器VPS一键添加与删除Swap虚拟内存

    说明:很多人的VPS服务器由于内存太小,会导致很多进程被杀掉,这时候就需要我们添加Swap虚拟内存了,这里就整了个一键脚本方便懒人或小白使用。 脚本 提示:脚本不支持OpenVZ架构,安装会自动退出。 运行命令: wget https://www.moerats.com/usr/shell/swap.sh && bash swap.sh 然后…

    2019年11月16日
    2.9K0
  • 关于博客站开源程序WordPress网站速度优化指导

    今天,小编来给大家说说 “关于WordPress博客类网站速度优化攻略”。希望对于用wordpress开源程序来建站的小伙伴有所帮助。 使用Wordpress搭建的网站普遍打开速度太慢,针于SEO来讲提升网站打开速度才能获得好的体验。如何提升Wordpress网站打开速度,让WP博客程序实现速度秒开,经过研究实践终于突破了速度这一难题。 要提升Wordpre…

    2019年12月15日
    2.1K0
  • IDA入坑指南

    快捷键 Tab 汇编指令与伪代码之间切换 G 搜索地址或者符号 N 重命名 X 交叉引用 space 切换反汇编窗口(列表视图&图形视图) Ctrl+S jmp to segment Alt+t 文本搜索 ALT+B 搜索16进制 Shift + F12 搜索字符串 R/H 10进制 和 十六进制 进行转换 Ctrl + E 查看函数模板表 shif…

    2019年9月30日
    2.0K0
  • 推荐一款免费的网站后门在线查杀工具

    网络安全,对于各位站长来说,现在是至关重要。网站被黑,网站被挂后门,可能会造成各种的损失。做好网络安全防护对于SEO优化也是至关重要的一步,保护好自己的网站,也能保护好自己网站的排名。这次,小编来推荐一款免费的网站后门在线查杀工具,希望对大家有帮助。 最近网站被挂马劫持风险非常之高,负责的几个网站都被植入后门和挂马,网站流量深受其害,今天为大家介绍一款在线木…

    2019年12月15日
    2.6K0
  • 极路由3刷openwrt

    开启开发者模式 登陆路由器管理界面 进入智能插件,选择去往插件市场 点击上方的”路由器信息” 进入高级设置,并按提示开通即可! 成功后提示:登陆地址为192.168.199.1,端口为1022,密码为登陆密码! 这时可以使用MobaXterm等终端工具连接极路由3,进入Shell界面了。 固件下载 为了避免刷机出现问题无法恢复到原来的状态, 需要先刷入一个 …

    2019年9月30日
    5.4K0
  • CONTABO:黑色星期五优惠德国VPS

    俗话说:”便宜的vps服务器能发家致富“。今天,小编继续来推荐外贸建站服务器VPS。CONTABO:黑色星期五优惠德国VPS。 黑色星期五优惠德国VPS contabo从2003年开始运作到现在,有两处自建的独立机房,主要业务是独立服务器出租(包括设备托管),其次是VPS、虚拟主机、域名;主持银行转账、PayPal付款等方式。 商家细节介绍; KVM虚拟,1…

    2019年11月30日
    2.1K0
  • 靶机渗透之突破fbi

    学习目的 信息收集 漏洞挖掘 impress cms 流量分析 突破Tomcat后台 Getshell 权限提升 持久控制 环境配置 下载链接:https://pan.baidu.com/s/1hN7dxPKkkrqhg9Q6I-s9yg 网络配置:使用默认的桥接模式即可! 主机发现 ➜ ~ netdiscover -i eth1 -r 192.168.1….

    2019年9月30日
    2.4K0