一、Windows系统隐藏账户介绍
系统隐藏账户是一种最为简单有效的权限维持方式,其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户,因为是隐藏账户,所以防守方是无法通过控制面板或命令行看到这个账户的。
二、Windows系统添加隐藏账户-教程
前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
环境: windows Server2012 IP: 192.168.226.128
2.1 第一种情况:攻击者控制某台机器,并执行添加用户指令
注意一:
此时虽然使用命令行无法看到 wxiaoge$ 隐藏用户,但是采用其它方法仍旧可以发现wxiaoge$ 隐藏用户,为了更好的隐藏新建的账户,还需要进行修改注册表文件操作。注意二:
1、打开windws server 2012的远程桌面功能
2、需将新创建的隐藏账户 wxiaoge$ 添加在允许远程桌面用户的位置,默认只允许 Administrator,不然隐藏账户 wxiaoge$ 无法登录
3、远程登录隐藏账户 wxiaoge$ 时,账户名是wxiaoge$ 密码是w123456!
查看wxiaoge$ 隐藏用户方法一:
通过 控制面板(控制面板-》用户账户-》管理账户)依然还是可以看到 wxiaoge$ 账户存在的。
查看wxiaoge$ 隐藏用户方法二:
通过管理工具-》计算机管理-》本地用户和组-》用户 依然还是可以看到 wxiaoge$ 账户存在的。
2.2 第二种情况:修改注册表文件
首先打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”,将Administrator用户的权限,设置成“完全控制”,然后重新打开注册表,确保可以看到SAM路径下的文件。
2.2.1 输入命令:regedt32 打开注册表
2.2.2 找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”
2.2.3 将Administrator用户的权限,设置成“完全控制”,
2.2.4 重新打开注册表,确保可以看到SAM路径下的文件
2.2.5 其次前往SAM/Domains/Account/Users/Names处,选择Administrator用户,在右侧的键值处可以找到对应的值如0x1f4,然后从左侧的Users目录下可以找到对应的文件。
2.2.6 然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户wxiaoge$所对应的文件,并将从Administrator文件中复制出来的F值粘贴进 wxiaoge $文件中。
2.2.7 最后将wxiaoge $ 和000003EB从注册表中右键导出,并删除wxiaoge$用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现wxiaoge用户的隐藏。
导出
删除 wxiaoge$ 账户
点击刚刚导出保存的 wxiaoge和3EB,点击之后会自动导入注册表,下图是导入成功的
此时 wxiaoge 隐藏账户在 “控制面板(控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"均未发现,成功隐藏
三、添加Windows系统隐藏账户——应急响应发现
查看注册表,在注册表中 HKEY_LOCAL_MACHINE\SA\SAM\Domains\Account\Users\Names 位置可以看到所有的用户名,将这些用户名与 “控制面板(控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"进行对比,不存在的账户就是隐藏账户
成功发现隐藏账户 wxiaoge
处置方式: 将注册表中的 wxioage$ 账户以及其对应的 000003EB 删除即可删除该后门账户
关注微信公众号:W小哥
