账号策略
<img />技术小贴
Windows中SID是标识用户、组和计算机账户的唯一号码。
使用工具getsid.exe进行获取管理员和普通用户的sid:
D:>getsid \localhost administrator \localhost guest
The SID for account administrator is S-1-5-21-1016001505-1879700474-349203625-500
The SID for account guest is S-1-5-21-1016001505-1879700474-349203625-501
Guset来宾用户一般是禁用状态,容易被克隆成管理员。
账号克隆
在Windows操作系统中通过对注册表的HKEY_LOCAL_MACHINESAMDomainsAccountUsers下的子键进行操作(需要System权限)使一个普通用户具有与管理员一样的桌面和权限,这样的用户就叫做克隆账号!
在日常查看这个用户**显示它的正常属性,例如Guest用户被克隆后,当管理员查看的时候,他还是属于guest组,如果是禁用状态,显示禁用状态,但登入系统后却是管理员权限!
新建用户
net user test$ 123.com /add
#加一个$表示是隐藏的用户
查看用户
此时net user查看不到test$用户
但是在用户组和注册表中查看test$用户是存在的,因此这种隐藏账户的方法并不是很实用!
<img />
导出注册表
打开DOS命令运行框,输入regedit命令进入到注册表,找到注册表下面的SAM文件夹,如果打不开请要修改administrator的权限,修改权限为完全控制然后打开SAM文件找到每个用户对应的带有注册信息的文件。
路径为:HKEY_LOCAL_MACHINESAMSAMDomainsUsers
<img />
将项test$、000001F4、000003F1导出为test.reg、000001F4.reg、000003F1.reg
编辑000003F1.reg,将其对应的F值替换为000001F4的F值,实现账号克隆!
<img />
删除用户
D:>net user test$ /del
导入注册表
导入test.reg和000003F1.reg,到这里test$用户就有administrator的权限了!
查看用户
此时在用户组中查看test$用户是不存在的,但是在注册表中依然存在!
ps:重启后,用户组中也**出现test$账号,但服务器一般不**重启,故233!
<img />
远程登陆
使用test$ : 123.com远程登陆!
<img />
登陆成功后的桌面和administrator的桌面是一致的!
<img />
防范
入侵者在系统中对账号进行了克隆,一般克隆系统中已经存在的账号,此时通过net user、net localgroup administrators等命令看不到克隆的账户。
如果系统开启了远程终端,则入侵者可以通过克隆账号登陆系统。
非常规检查主要通过”本地管理员检查工具”来检查,程序**自动以图形化界面显示系统中存在的账号,并给出相应的提示,一般显示为影子管理员!
<img />
后话
我们新建一个test$用户,只是为了演示效果,实际利用中常常克隆系统自带的用户,如Administrator、Guest等!
原创文章,作者:小嵘源码,如若转载,请注明出处:https://www.lcpttec.com/windowsaq/
