首页 > 192.168.1.1

windows账户禁用-(windows账户禁用怎么办)

来源:191路由网 2022-12-16 16:11:21

windows账户禁用 (windows账户禁用怎么办)

本文将要介绍以下内容:

· 帐户隐藏的方法

· 编写脚本实现思路

· 结合远程桌面多用户登录的利用思路

0x02 帐户隐藏的方法

该方法在网上已有相关资料,本节只做简单复现

测试系统:·Win7 x86

1、对注册表赋予权限

默认注册表HKEY_LOCAL_MACHINE\SAM\SAM\只有system权限才能修改

现在需要为其添加管理员权限

右键-权限-选中Administrators,允许完全控制

如下图

重新启动注册表regedit.exe,获得对该键值的修改权限

2、新建特殊帐户

net user test$ 123456 /addnet localgroup administrators test$ /add

注:

用户名要以$结尾

添加后,该帐户可在一定条件下隐藏,输入net user无法获取,如下图

但是,在控制面板能够发现该帐户

如下图

3、导出注册表

在注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names下找到新建的帐户test$

获取默认类型为0x3ea

将注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\test$导出为1.reg

在注册表下能够找到对应类型名称的注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EA

如下图

右键将该键导出为2.reg,保存的文件信息如下图

默认情况下,管理员帐户Administrator对应的注册表键值为HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4

同样,右键将该键导出为3.reg

将注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003EA下键F的值替换为HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4下键F的值,即2.reg中键F的值替换成3.reg中键F的值

替换后,如下图

4、命令行删除特殊帐户

net user test$ /del

5、导入reg文件

regedit /s 1.regregedit /s 2.reg

隐藏账户制做完成,控制面板不存在帐户test$

通过net user无法列出该帐户

计算机管理-本地用户和组-用户也无法列出该帐户

但可通过如下方式查看:

net user test$

如下图

无法通过net user test$ /del删除该用户,提示用户不属于此组,如下图

删除方法:

删除注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下对应帐户的键值(共有两处)

注:

工具HideAdmin能自动实现以上的创建和删除操作

0x03 编写脚本实现思路

采用powershell脚本实现的两种思路:

1、对注册表添加管理员帐户的编辑权限

使用regini注册ini文件为注册表及其子键赋予权限

注:

Powershell通过Set-Acl为注册表赋予权限,示例代码:

$acl = Get-Acl HKLM:SAM\SAM\$person = [System.Security.Principal.NTAccount]\"Administrators\"$access = [System.Security.AccessControl.RegistryRights]\"FullControl\"$inheritance = [System.Security.AccessControl.InheritanceFlags]\"None\"$propagation = [System.Security.AccessControl.PropagationFlags]\"NoPropagateInherit\"$type = [System.Security.AccessControl.AccessControlType]\"Allow\"$rule = New-Object System.Security.AccessControl.RegistryAccessRule( `$person,$access,$inheritance,$propagation,$type)$acl.ResetAccessRule($rule)Set-Acl HKLM:SAM\SAM\Domains\Account\Users\Names $acl

但不支持对子键的权限分配,因此不采用该方法电脑

以下内容保存为a.ini:

HKEY_LOCAL_MACHINE\SAM\SAM\* [1 17]

注:

*代表枚举所有子键

1代表Administrators 完全访问

17代表System 完全访问

详细权限说明可通过cmd执行regini获取帮助,如下图

通过regini注册:

regini a.ini

Evilcg就是通过这种方式实现的,脚本地址:

https://github.com/Ridter/Pentest/blob/master/powershell/MyShell/Create-Clone.ps1

注:

使用*需要system权限,但只把相关的列举出来,只需要管理员权限即可,例如:

HKEY_LOCAL_MACHINESAM [1 17]HKEY_LOCAL_MACHINESAMSAM [1 17]HKEY_LOCAL_MACHINESAMSAMDomains [1 17]HKEY_LOCAL_MACHINESAMSAMDomainsAccount [1 17]HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers [1 17]HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames [1 17]

2、直接获得System权限

我在之前的文电脑章《渗透技巧——Token窃取与利用》介绍过通过token复制获得system权限的方法

所以,可以先获得System权限,进而拥有对注册表的编辑权限

简单的方式,通过Invoke-TokenManipulation.ps1,地址如下:

https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-TokenManipulation.ps1

但我在测试时发现了一个bug,使用Invoke-TokenManipulation -ImpersonateUser -Username \"nt authority\system\"无法将当前权限切换为System权限

但可以使用Invoke-TokenManipulation -CreateProcess \"cmd.exe\" -Username \"nt authoritysystem\"新打开一个System权限的进程

接下来,就是编写脚本实现注册表的导出替换功能:

· 新建测试帐户

· 将注册表导出到temp目录,进行替换

· 删除特殊帐户

· 导入注册表文件

我的实现方法参照了Evilcg的最初始版本,做了细节上的优化,下载地址:

https://github.com/3gstudent/Windows-User-Clone

0x04 结合远程桌面多用户登录的利用思路

通过以上的介电脑绍,可得出该方法的优点:

通过克隆的方式能够继承原帐户的权限

在利用上存在以下需要注意的问题:

1、复制管理员帐户Administrator

需要注意管理员帐户是否被禁用,如果被禁用,那么克隆出的隐藏帐户也是被禁用状态

2、复制已有帐户

在3389远程登录的利用上存在相同帐户的冲突关系

通过cmd开启本机的3389远程登录功能:

REG ADD \"HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 00000000 /fREG ADD \"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" /v PortNumber /t REG_DWORD /d 0x00000d3d /f

利用以上方法,克隆帐户a的权限,建立隐藏帐户aaa$

如果系统当前登录帐号为a,那么使用隐藏帐户aaa$登录的话,会系统被识别为帐户a,导致帐户a下线

3、新建帐户再复制

进一步,大胆的思考

新建管理员帐户b,克隆帐户b,建立隐藏账户bbb$

删除管理员帐户b,隐藏账户bbb$仍然有效

4、原帐户的维持

再进一步

克隆帐户a的权限,建立隐藏帐户aaa$

修改帐户a的密码,隐藏帐户aaa$仍然有效

0x05 防御

针对隐藏帐户的利用,查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\即可

当然,默认管理员权限无法查看,需要分配权限或是提升至Sytem权限

隐藏帐户的登录记录,可通过查看日志获取

0x06 小结

本文介绍了隐藏帐户的相关利用技巧,如果应用于远程桌面的多用户登录,隐蔽性会大大提高,站在防御的角度,分享出该利用方法,帮助大家更好的认识和防御。


电脑
点击展开全文

相关阅读

移动盘能否做启动盘-(移动盘能否做启动盘使用)

移动盘能否做启动盘(移动盘能否做启动盘使用)超过(4T)大容量移动硬盘如何安装WinPE——GPT(GUID)分区如何安装PEByFeng前言由于mbr分区的只能最大支持2T的磁盘,所以最新的4T的移动硬盘不能使用mbr分区,无法通过Grub4dos来安装PE系统,如果你购买了2T以上的移动硬盘,必须是GPT(GUID)分区,就面临无法安装WINPE的尴尬局面。既然4T等大容量移动硬盘已经确定...

2022-12-16

windows账户禁用-(windows账户禁用怎么办)

windows账户禁用(windows账户禁用怎么办)本文将要介绍以下内容:·帐户隐藏的方法·编写脚本实现思路·结合远程桌面多用户登录的利用思路0x02帐户隐藏的方法该方法在网上已有相关资料,本节只做简单复现测试系统:·Win7x861、对注册表赋予权限默认注册表HKEY_LOCAL_MACHINE\SAM\SAM\只有system权限才能修改现在需要为其添加管理员权限右键-权...

2022-12-16

如何用u盘分区使用-(如何用u盘分区使用文件)

如何用u盘分区使用(如何用u盘分区使用文件)一般来说,U盘上只会创建一个分区,因为即使建了多个分区,以前的Windows系统也只能识别第一个分区,但是现在呢?如果你升级到windows101703以后的版本,U盘电脑上有多个分区也可以被识别到了。现在的U盘容量越来越大,如果能够分多个分区,那么对于我们分类存储数据资料来说也是有利的。部分电脑用户可能还不太会给U盘分区,下面小编就以win10系统...

2022-12-16

进入u盘启动模式什么问题吗-(怎么进入u盘启动模式)

进入u盘启动模式什么问题吗(怎么进入u盘启动模式)修电脑的师傅说过,“关于电脑问题,重启可以解决掉50%的问题,重装系统可以解决90%的问题”。所以,电脑出现问题后,第一时间是重启,解决不了再重装系统,毕竟重启是动动手指头的事情,简单多了。至于重装系统嘛,无非就是一键重装和u盘重装,这两种重装系统方式是目前比较...

2022-12-16

u盘写里数据变成乱码-(u盘写里数据变成乱码怎么办)

u盘写里数据变成乱码(u盘写里数据变成乱码怎么办)U盘是我们工作中必不可少的数据存储设备,它轻巧便捷,方便携带。但是也有很多人过程中会遇到一些问题,比如U盘文件突然乱码、文件突然消失等等,今天小西就教大家一个小妙招,轻松解决U盘文件乱码问题。电脑使用工具:迅米数据恢复软件准备工作:大家需要先下载安装迅米数据恢复软件,直接百度搜索或者至电脑西米软件商城官网下载都可以,安装也非常简单,这里赘述。同时...

2022-12-16

191路由网 - 192.168.1.1,192.168.0.1无线路由器设置教程

版权声明:本站的文章和图片来自互联网收集,仅做分享之用如有侵权请联系站长,我们将在24小时内删除