一、Windows系统隐藏账户介绍

系统隐藏账户是一种最为简单有效的权限维持方式,其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户,因为是隐藏账户,所以防守方是无法通过控制面板或命令行看到这个账户的。

二、Windows系统添加隐藏账户-教程

前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
环境: windows Server2012 IP: 192.168.226.128

2.1 第一种情况:攻击者控制某台机器,并执行添加用户指令

net user wxiaoge$ w123456! /add                  #添加hacker$隐藏用户
net localgroup administrators wxiaoge$ /add    #将hacker$用户添加进管理员组中

在这里插入图片描述
注意一:
此时虽然使用命令行无法看到 wxiaoge$ 隐藏用户,但是采用其它方法仍旧可以发现wxiaoge$ 隐藏用户,为了更好的隐藏新建的账户,还需要进行修改注册表文件操作。

注意二:
1、打开windws server 2012的远程桌面功能
2、需将新创建的隐藏账户 wxiaoge$ 添加在允许远程桌面用户的位置,默认只允许 Administrator,不然隐藏账户 wxiaoge$ 无法登录
3、远程登录隐藏账户 wxiaoge$ 时,账户名是wxiaoge$ 密码是w123456!
在这里插入图片描述

查看wxiaoge$ 隐藏用户方法一:
通过 控制面板(控制面板-》用户账户-》管理账户)依然还是可以看到 wxiaoge$ 账户存在的。
在这里插入图片描述
查看wxiaoge$ 隐藏用户方法二:
通过
管理工具-》计算机管理-》本地用户和组-》用户
依然还是可以看到 wxiaoge$ 账户存在的。
在这里插入图片描述

2.2 第二种情况:修改注册表文件

首先打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”,将Administrator用户的权限,设置成“完全控制”,然后重新打开注册表,确保可以看到SAM路径下的文件。

2.2.1 输入命令:regedt32 打开注册表
在这里插入图片描述
2.2.2 找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”
在这里插入图片描述
2.2.3 将Administrator用户的权限,设置成“完全控制”,
在这里插入图片描述
2.2.4 重新打开注册表,确保可以看到SAM路径下的文件
在这里插入图片描述

2.2.5 其次前往SAM/Domains/Account/Users/Names处,选择Administrator用户,在右侧的键值处可以找到对应的值如0x1f4,然后从左侧的Users目录下可以找到对应的文件。
在这里插入图片描述
2.2.6 然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户wxiaoge$所对应的文件,并将从Administrator文件中复制出来的F值粘贴进 wxiaoge $文件中。
在这里插入图片描述
在这里插入图片描述

2.2.7 最后将wxiaoge $ 和000003EB从注册表中右键导出,并删除wxiaoge$用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现wxiaoge用户的隐藏。

导出
在这里插入图片描述
删除 wxiaoge$ 账户
在这里插入图片描述
点击刚刚导出保存的 wxiaoge和3EB,点击之后会自动导入注册表,下图是导入成功的
在这里插入图片描述
此时 wxiaoge 隐藏账户在 “控制面板(控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"均未发现,成功隐藏

在这里插入图片描述
在这里插入图片描述

三、添加Windows系统隐藏账户——应急响应发现

查看注册表,在注册表中 HKEY_LOCAL_MACHINE\SA\SAM\Domains\Account\Users\Names 位置可以看到所有的用户名,将这些用户名与 “控制面板(控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"进行对比,不存在的账户就是隐藏账户

成功发现隐藏账户 wxiaoge
在这里插入图片描述
处置方式: 将注册表中的 wxioage$ 账户以及其对应的 000003EB 删除即可删除该后门账户

更多资源:

1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程

收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
在这里插入图片描述

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐