windows渗透中后门用户的添加方法探究
前言
渗透中如何维持administrator权限,我想最简单的方法就是添加一个用户了吧,最好这个用户你添加了管理员还看不到,那就美滋滋了。正好最近在windows渗透过程中遇到了这个问题,就把几种常见的方式拿出来对比一下,供大家参考。
ps:实验环境windows server 2008 R2 ,VMware
0X01 基础:激活Guest用户
我们知道windows中有一个非常特殊的用户叫做Guest,他特殊就特殊在他是一个内置账户,平时一直都处于禁用状态,如下图所示:
这是我新安装的虚拟机的初始状态,可以看到已经禁用了,而且禁用的账户在图标上也有一个黑色的小箭头作为标识。
那么我们的思路就是既然这个账户已经存在了,我们就可以直接激活他,并给他设置一个账号密码,再把他弄到administrators里面就行了。
我们首先激活,如下图所示:
可以看到我首先试了一下能不能激活别的用户,很明显结果是不行的,说明原先不存在的用户是不能激活的,必须要首先创建,然后我激活Guest用户成功,左边的红框已经说明了账户禁用取消。
接下来就是依次输入下面的命令完成设置密码和加入管理组的目的:
net user guest xxxx
net loaclgroup administrators guest /add
到这里其实已经大功告成了,我们退出去看一下效果:
我只能说wo_ri,居然看的清清楚楚guest用户上线了…… 仿佛在给管理员明确的暗示你已经进来了,我们知道,如果用户被禁用,在登录界面是看不出来的看到的只会是下面这样:
而且我们已经很明显的将计算机管理中的Guest的图标给改了,那个小的黑色的箭头已经不见了,如果管理员细心的话也能很快发现,所以,这种方法只适用于管理员登陆使用的是命令行,或者3389登录的时候选择了用户,并且还没有打开计算机管理看看Guest有没有被激活否则就是被安排的明明白白。
0X02 进阶:创建“隐藏”用户
很多人也许看到上面的方法就要说了,我们不会那么傻的,我们也听说过有一种隐形账户,类似于admin$这样的,这样网上说管理员就看不到了,是不是这样呢?我们我也特地试验了一下。
首先,我们创建 admin$用户如下:
然后别忘了将其加入管理组
net loaclgroup administrators admin$ /add
然后是不是就看不到了?
网上的教程讲的真好,果然是这样?真的吗?再好好看看。。。。
我只能说 wo_ri,图形化真的是无敌啊,admin$ 这种隐藏方式只能经得起命令行的检查,图形化一用就和没有一样,而且不只是登录界面,计算机管理中也看得到:
所以这种方式的隐藏只是针对管理员用命令查看是否有多余的用户,局限性是很大的。
0X03 完善:“影子账户”的出现
网友说,别急,我们还见过一种高级方法,叫做影子账户,好像要改注册表的,据说能和管理员同步,还能让你在计算机管理里面看到的账户虽然是禁用状态,但是还能成功登陆,我同样也做了实验。
首先需要让Guest账户处于一开始默认的禁用状态,然后打开注册表找到HKEY_LOCAL_MACHINE下面的SAM,可以发现什么都没有,实际上是权限不够,我们需要将当前用户的权限设置为完全控制,如下图:
然后我们就能看到SAM下面的东西了,我们找到administrators账户,看到他对应的十六进制编号是0x1f4,然后找到上面的0x1f4,双击F文件,将其中的16进制内容复制下来,再找到Guest对应的0x1f5,同样打开F文件,复制进去,如下图:
然后我们会惊奇的发现,原本已经被标记为禁用的账户Guest已经变成了非禁用模式,而且我们可以看到图标显示的状态还是Guest处于禁用中,如下图:
注意:
1.这里已经默认把Guest放在了管理员组,这一步的工作不再演示
2.我们要关注一下Guest的属性中有没有把下图的这一项的勾打上,如果打上了请去掉
3.很重要的一步就是还原注册表,因为我们刚刚改变了管理员的权限,我们还要改回去,如下图:
大功告成,我们看一下效果:
或许网上的教程都没有注意到这个登录界面???即使在计算机管理中看上去是禁用的,但是那个勾不打系统还是认为这个用户活着,登录界面就依然会显示,这启示我们,在真实环境下要做好充分的准备,一边查电脑一边渗透很可能需要一个送饭的…..
不过这个还是实现了对administrator账户的克隆,也就是说,这个账户和管理员是同步的,你的任何操作都会在管理员登陆的时候看到。
0X04 升华:真正的隐藏,管理员房间的另一扇门
在我苦于无法解决这个登录界面的问题时,我又看到了一种方法,彻底解决了我的问题,在这里介绍一下。
思路是这样的:既然只要我创建账户,只要这个账户活着,系统就会识别这是新的账户,然后在登录界面显示出来,那么唯一的方法就是让这个账户真的不存在,我们可以先拿制作一个影子账户,然后把他的有关登陆的注册表导出来,然后再把这个账户删除,删除以后这个账户就没有其他信息在系统中了,然后我们只把有关登录的注册表导入回去就OK了,就相当于给管理员账户开了另一扇门,仅仅是一扇门,只能用户登录而已,但我们的目的已经达到了。
和上面重复的步骤我就不再演示:
我们新建一个admin$账户,完成放进管理组,完成影子账户的建立,然后把对应的注册表项右键导出,如下图:
两个都要导出,然后我们把用户删除
可以看到用户删除以后,注册表已经无法打开
双击导出的注册表,并连续点击确定(这里补充一下,如果你在实战中双击以后会出现无法导入的情况,那么其实你可以直接将其用鼠标拖入注册表的对应位置,其实是完全可以的):
我们来看一下效果:
计算机管理里面:
最关键的登录界面:
好的,非常稳了!!无比激动
那我们就放肆的登录吧
0X05 致谢
这种方法我是在一个大师傅的博客里面看到的,安利给大家,一开始不是很懂,后来师傅给我解释的很详细,在此鸣谢。