Windows影子用户创建与3389连接

#当获得一条shell后，可以创建一个影子用户，通过影子用户可以行驶正常用户的所有权限与功能，并且只可在注册表中被检测出来---(应急响应注册表很重要）

1.首先需要拥有权限创建一个Administrator用户，并分配管理员权限。

net user haha$ hahapass /add
net localgroup administrators haha$ /add
net localgroup users haha$ /del

2.切换到影子用户下，然后打开注册表HKEY_LOCAL_MACHINE\SAM\SAM,右击权限，找到Administrators勾选完全控制，关闭注册表。

3.在注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names找到要创建到账户，与其默认类型。

可以看到这个隐藏用户的默认类型是0x3f1

4.将隐藏用户导出注册表1.reg，放入桌面

5.将隐藏用户默认类型对应的注册表导出为2.reg到桌面上

6.接着导出想要复制的账户，比如管理员帐户的默认类型为00001F4导出为3.reg

最终得到3个文件

7.然后打开2.reg，将3.reg中的F值对应替换到2.reg中的值，保存2.reg，删除3.reg.

8.在CMD窗口下删除用户haha$

net user haha$ /del

再次打开注册表发现之前注册表隐藏信息已经清除，然后把1.reg,2.reg导入注册表

此时被修改后的注册表信息再次导入到注册表

9.最终切换用户，登录到haha$账户下，输入创建的密码就可以进入被复制到的账户的页面。

此时再次重启，发现创建的haha$用户已经消失了，

10.使用3389远程连接，账户haha$,密码pass，正常登录Admistrator用户。影子用户创建成功！