1. 首页
  2. 技术小贴

Windows安全之账号克隆

账号策略

技术小贴
技术小贴

Windows中SID是标识用户、组和计算机账户的唯一号码。

使用工具getsid.exe进行获取管理员和普通用户的sid:

D:>getsid \localhost administrator \localhost guest
The SID for account administrator is S-1-5-21-1016001505-1879700474-349203625-500
The SID for account guest is S-1-5-21-1016001505-1879700474-349203625-501

Guset来宾用户一般是禁用状态,容易被克隆成管理员。

账号克隆

在Windows操作系统中通过对注册表的HKEY_LOCAL_MACHINESAMDomainsAccountUsers下的子键进行操作(需要System权限)使一个普通用户具有与管理员一样的桌面和权限,这样的用户就叫做克隆账号!

在日常查看这个用户会显示它的正常属性,例如Guest用户被克隆后,当管理员查看的时候,他还是属于guest组,如果是禁用状态,显示禁用状态,但登入系统后却是管理员权限!

新建用户

net user test$ 123.com /add
#加一个$表示是隐藏的用户

查看用户

此时net user查看不到test$用户

但是在用户组和注册表中查看test$用户是存在的,因此这种隐藏账户的方法并不是很实用!

Windows安全之账号克隆

导出注册表

打开DOS命令运行框,输入regedit命令进入到注册表,找到注册表下面的SAM文件夹,如果打不开请要修改administrator的权限,修改权限为完全控制然后打开SAM文件找到每个用户对应的带有注册信息的文件。

路径为:HKEY_LOCAL_MACHINESAMSAMDomainsUsers

Windows安全之账号克隆

将项test$、000001F4、000003F1导出为test.reg、000001F4.reg、000003F1.reg

编辑000003F1.reg,将其对应的F值替换为000001F4的F值,实现账号克隆!

Windows安全之账号克隆

删除用户

D:>net user test$ /del

导入注册表

导入test.reg和000003F1.reg,到这里test$用户就有administrator的权限了!

查看用户

此时在用户组中查看test$用户是不存在的,但是在注册表中依然存在!

ps:重启后,用户组中也会出现test$账号,但服务器一般不会重启,故233!

Windows安全之账号克隆

远程登陆

使用test$ : 123.com远程登陆!

Windows安全之账号克隆

登陆成功后的桌面和administrator的桌面是一致的!

Windows安全之账号克隆

防范

入侵者在系统中对账号进行了克隆,一般克隆系统中已经存在的账号,此时通过net user、net localgroup administrators等命令看不到克隆的账户。

如果系统开启了远程终端,则入侵者可以通过克隆账号登陆系统。

非常规检查主要通过”本地管理员检查工具”来检查,程序会自动以图形化界面显示系统中存在的账号,并给出相应的提示,一般显示为影子管理员!

Windows安全之账号克隆

后话

我们新建一个test$用户,只是为了演示效果,实际利用中常常克隆系统自带的用户,如Administrator、Guest等!

原创文章,作者:小嵘源码,如若转载,请注明出处:https://www.lcpttec.com/windowsaq/

联系我们

176-888-72082

在线咨询:点击这里给我发消息

邮件:2668888288@qq.com

工作时间:周一至周五,9:00-18:00,节假日休息

QR code