渗透技巧——Windows系统的帐户隐藏

渗透技巧——Windows系统的帐户隐藏

2017-11-28-00:08:55

 0x01 帐户隐藏的方法

该方法在网上已有相关资料，本节只做简单复现

测试系统：·Win7 x86/WinXP

1、对注册表赋予权限

默认注册表HKEY_LOCAL_MACHINE\SAM\SAM\只有system权限才能修改

现在需要为其添加管理员权限

右键-权限-选中Administrators，允许完全控制，如下图：

重新启动注册表regedit.exe，获得对该键值的修改权限。

2、新建特殊帐户

net user www$ 123456 /add
net localgroup administrators www$ /add

注：用户名要以$结尾

添加后，该帐户可在一定条件下隐藏，输入net user无法获取，如下图：

但是，在控制面板能够发现该帐户，如下图：

3、导出注册表

在注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下找到新建的帐户www$

获取默认类型为0x3eb

将注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\www$导出为1.reg

在注册表下能够找到对应类型名称的注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EB

如下图：

默认情况下，管理员帐户Administrator对应的注册表键值为HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

同样，右键将该键导出为3.reg:

将注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EA下键F的值替换为HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4下键F的值，即2.reg中键F的值替换成3.reg中键F的值替换后，如下图:

4、命令行删除特殊帐户

net user test$ /del

5、导入reg文件

regedit /s 1.reg
regedit /s 2.reg

隐藏账户制做完成，控制面板不存在帐户www$

通过net user无法列出该帐户

计算机管理-本地用户和组-用户也无法列出该帐户

但可通过如下方式查看：

无法通过net user test$ /del删除该用户，提示用户不属于此组，如下图:

删除方法：

删除注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下对应帐户的键值(共有两处)

注：工具HideAdmin能自动实现以上的创建和删除操作【此工具只适用于Win XP】

0x02 防御

针对隐藏帐户的利用，查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\即可

当然，默认管理员权限无法查看，需要分配权限或是提升至Sytem权限

隐藏帐户的登录记录，可通过查看日志获取