Windows安全之账号克隆

账号策略

技术小贴
技术小贴

Windows中SID是标识用户、组和计算机账户的唯一号码。

使用工具getsid.exe进行获取管理员和普通用户的sid:

D:>getsid \localhost administrator \localhost guest
The SID for account administrator is S-1-5-21-1016001505-1879700474-349203625-500
The SID for account guest is S-1-5-21-1016001505-1879700474-349203625-501

Guset来宾用户一般是禁用状态,容易被克隆成管理员。

账号克隆

在Windows操作系统中通过对注册表的HKEY_LOCAL_MACHINESAMDomainsAccountUsers下的子键进行操作(需要System权限)使一个普通用户具有与管理员一样的桌面和权限,这样的用户就叫做克隆账号!

在日常查看这个用户会显示它的正常属性,例如Guest用户被克隆后,当管理员查看的时候,他还是属于guest组,如果是禁用状态,显示禁用状态,但登入系统后却是管理员权限!

新建用户

net user test$ 123.com /add
#加一个$表示是隐藏的用户

查看用户

此时net user查看不到test$用户

但是在用户组和注册表中查看test$用户是存在的,因此这种隐藏账户的方法并不是很实用!

Windows安全之账号克隆

导出注册表

打开DOS命令运行框,输入regedit命令进入到注册表,找到注册表下面的SAM文件夹,如果打不开请要修改administrator的权限,修改权限为完全控制然后打开SAM文件找到每个用户对应的带有注册信息的文件。

路径为:HKEY_LOCAL_MACHINESAMSAMDomainsUsers

Windows安全之账号克隆

将项test$、000001F4、000003F1导出为test.reg、000001F4.reg、000003F1.reg

编辑000003F1.reg,将其对应的F值替换为000001F4的F值,实现账号克隆!

Windows安全之账号克隆

删除用户

D:>net user test$ /del

导入注册表

导入test.reg和000003F1.reg,到这里test$用户就有administrator的权限了!

查看用户

此时在用户组中查看test$用户是不存在的,但是在注册表中依然存在!

ps:重启后,用户组中也会出现test$账号,但服务器一般不会重启,故233!

Windows安全之账号克隆

远程登陆

使用test$ : 123.com远程登陆!

Windows安全之账号克隆

登陆成功后的桌面和administrator的桌面是一致的!

Windows安全之账号克隆

防范

入侵者在系统中对账号进行了克隆,一般克隆系统中已经存在的账号,此时通过net user、net localgroup administrators等命令看不到克隆的账户。

如果系统开启了远程终端,则入侵者可以通过克隆账号登陆系统。

非常规检查主要通过”本地管理员检查工具”来检查,程序会自动以图形化界面显示系统中存在的账号,并给出相应的提示,一般显示为影子管理员!

Windows安全之账号克隆

后话

我们新建一个test$用户,只是为了演示效果,实际利用中常常克隆系统自带的用户,如Administrator、Guest等!

原创文章,作者:小嵘源码,如若转载,请注明出处:https://www.lcpttec.com/windowsaq/

(1)
上一篇 2019年9月30日 下午2:56
下一篇 2019年9月30日 下午3:20

相关推荐

  • 悬剑2.0安装与探究

    镜像下载 https://pan.baidu.com/s/1yfNwtbEC4blwUw9YloVjmA 解压密码:SecQuan.Org 使用PanDownload,在10M的宽带环境下下载逾十个小时,இ௰இ 镜像导入 导入OVF文件快要完成的时候报错:SHA digest of file 悬剑2.0-disk1.vmdk does not match m…

    2019年9月26日
    7.7K0
  • 信息安全实验

    Day1 开班总结 以企业管理的要求约束自己:自律、慎独 做好自己,帮助他人,乐于分享,团队合作 团队 团队4人 课程计划 安装Centos7 远程访问配置 LAMP搭建与Linux+Tomacat+mysql搭建js的环境 通过shell运维网站 部署zabbix实时监控网站及服务器 部署IDS(snort)入侵检测系统 对上述网站进行渗透测试和漏洞修复 …

    2019年9月26日
    2.3K0
  • 靶机渗透之HackInOS

    环境搭建 下载HackInOS 使用VirtualBox导入ovf,注意需要使用vbox导入 主机发现 本机ip: ​ 192.168.222.131 ip发现: arp-scan –interface=eth0 192.168.222.0/24 靶机ip: ​ 192.168.222.132 00:0c:29:9e:3a:be VMware, Inc. …

    2019年9月26日
    2.5K0
  • 嵌入式开发环境部署

    Why Openwrt openwrt基于linux,裁剪了Linux的文件系统,封装了适用于智能家居的功能模块。 搭建虚拟机 下载镜像:http://archive.openwrt.org/releases/17.01.4/targets/x86/64/lede-17.01.4-x86-64-combined-ext4.img.gz 转换工具:StarWi…

    2019年9月30日
    1.7K0
  • VIRMACH:黑色星期五活动VPS

    今天,小编继续来推荐外贸建站服务器VPS。VIRMACH:黑色星期五活动VPS。 黑色星期五活动VPS 需要的可以去看一看,附上实时更新的监控! 地址:http://virma.ch/2019bf  

    2019年11月30日
    1.8K0
  • 国外VPS购买推荐帖子:HOSTSAILOR

    便宜的vps服务器能发财致富呢!国外服务器供应商HOSTSAILOR:服务器vps黑色星期五优惠价格,只需要6.6$一年哦!本方法由峰哥博客提供。工具:谷歌浏览器+谷歌浏览器上面的谷歌自动翻译。(谷歌翻译英文嘛,但博主英文好,是不需要翻译英文的,啊哈哈哈哈哈) 需要的可以上车,6.6$一年目前还有库存,无需优惠码直接购买即可! 这家除了线路比较烂其他都可以!…

    2019年11月30日
    1.8K0
  • 推荐一款网络推广营销拓客的软件

    这次,小编来给大家推荐一款网络推广营销拓客的软件。希望对做网站推广的小伙伴们有所帮助哦。 为各位互联网营销及SEO站长朋友们推荐一款《站长拓客营销神器》,苦苦寻找很久终于给开发出来了,为网络营销从业者朋友解决双手,让获客成本和流量变成更加高效。 什么是“无忧拓客营销” 软件名称:无忧拓客营销工具,名字是我自己起的,帮助网站长们快速挖掘行业流量网站,拓展网站流…

    2019年12月15日
    2.4K0
  • 推荐一款免费文件对比比较工具

    推荐一款免费文件对比比较工具。希望能帮助大家做好内容。 Diffinity这是一款免费的文件对比工具,分析文本、网页、代码的差异化工具。是站长网络安全必不可少的辅助软件。Diffinity 是Windows 下的文本文件对比和合并工具,支持代码高亮、逐行显示差异、集成 Windows 资源管理器等功能。 Diffinity软件简介 Diffinity是一款简…

    2019年12月15日
    3.0K0
  • WordPress插件添加二次元机器人伊斯特瓦尔

    这次,小编来给大家介绍一款萌萌的2次元wordpress站点插件。希望大家喜欢,还能帮自己的站点增添点乐趣。 在看到别人博客的时候,不经意地发现在左下角有一个漂亮的美女聊天机器人,叫啥伊斯特瓦尔。觉得很新鲜啊,很想给自己的站点也配置一个。 在网上一扒拉,发现这个美女叫图灵机器人,wordpress安装起来很简单,申请一个apikey,在安装一个插件就可以愉快…

    2020年2月11日
    3.0K1
  • PSKHOSTING:国外黑色星期五主机空间1$一年

    外贸建站推荐 PSKHOSTING:国外黑色星期五主机空间1$一年 国外黑色星期五主机空间1$一年 5 GB共享主机(1$); 可绑定1个域名 2个数据库 5 GB储存空间 150 GB每月传输 无限的FTP帐户 1个电子邮件帐号 购买地址:https://clients.pskhosting.com/cart.php?a=add&pid=115 6…

    2019年11月30日
    1.9K0
  • Linux服务器VPS一键添加与删除Swap虚拟内存

    说明:很多人的VPS服务器由于内存太小,会导致很多进程被杀掉,这时候就需要我们添加Swap虚拟内存了,这里就整了个一键脚本方便懒人或小白使用。 脚本 提示:脚本不支持OpenVZ架构,安装会自动退出。 运行命令: wget https://www.moerats.com/usr/shell/swap.sh && bash swap.sh 然后…

    2019年11月16日
    2.7K0
  • CTF签到之html信息隐藏

    出题形式 Flag隐藏在html文件中,此类题目比较隐蔽,不易发现! 题目制作 1.新建1.html文档 <!DOCTYPE html> <html> <head> <title>请寻找Flag值</title> </head> <body> <h1>我就是一个简…

    2019年9月30日
    3.6K0