-
2021-06-16 09:49:04
账户隐藏技术是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大。
在隐藏系统账户之前,介绍一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”,控制面板的“计算机管理”,“注册表”中对存在的账户进行查看,而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常,因此如何让系统账户在这两者中隐藏是重点。
隐藏账户
一、“命令提示符”的隐藏
利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。
运行“命令提示符”,输入“net user aaa$ 123456789 /add”,回车,成功后会显示“命令成功完成”。接着输入“net localgroup administrators aaa$ /add”回车,这样我们就利用“命令提示符”成功得建立了一个用户名为“aaa$”,密码为“123456789”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。
在“命令提示符”中输入查看系统账户的命令“net user”,回车后会显示当前系统中存在的账户。从返回的结果中我们可以看到刚才我们建立的“aaa$”这个账户并不存在。打开“计算机管理”,查看其中的“本地用户和组”,在“用户”项中,我们建立的隐藏账户“aaa$”就会暴露。
注:这种方法只能将账户在“命令提示符”中进行隐藏,而对于“计算机管理”则无能为力。因此这种隐藏账户的方法并不是很实用。
二、“注册表”中的隐藏
从上面中我们可以看到用命令提示符隐藏账户的方法很容易暴露自己。那么我们可以在在“注册表”中进行些设置使其在“命令提示符”和“计算机管理”中同时隐藏账户。
首先、给管理员注册表操作权限
在注册表中对系统账户的键值进行操作,需要到“HKEY_LOCAL_MACHINE SAM SAM”处进行修改,现无法展开该处所在的键值。因为系统默认对系统管理员给予“写入”和“读取控制”权限,因此我们没有办法对“SAM”项下的键值进行查看和修改。
所以要运行“regedt32.exe”后回车,随后会弹出另一个“注册表编辑器”,在regedt32.exe中来到“HKEY_LOCAL_MACHINE SAM SAM”处,点击“安全”菜单→“权限”,在弹出的“SAM的权限”编辑窗口中选中“administrators”账户,在下方的权限设置处勾选“完全控制”,完成后点击“确定”即可。然后我们切换回“注册表编辑器”,可以发现“HKEY_LOCAL_MACHINESAMSAM”下面的键值都可以展开了。
提示:上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中,对于权限的操作可以直接在注册表中进行,方法为选中需要设置权限的项,点击右键,选择“权限”即可。
其次、将隐藏账户替换为管理员
成功得到注册表操作权限后,我们就可以正式开始隐藏账户的制作了。来到注册表编辑器的“HKEY_LOCAL_MACHINE SAM SAM Domains Account Users Names”处,当前系统中所有存在的账户都会在这里显示,当然包括我们的隐藏账户。点击我们的隐藏账户“aaa$”,在右边显示的键值中的“类型”一项显示为0x3ee,向上来到“HKEY_LOCAL_MACHINE SAM SAM Domains Account Users”处,可以找到“000003EE”这一项,这两者是相互对应的,隐藏账户“aaa$”的所有信息都在“000003EE”这一项中。同样的,我们可以找到“administrator”账户所对应的项为“000001F4”。 将“aaa$”的键值导出为“aaa$.reg”,同时将“000003EE”和“000001F4”项的F键值分别导出为user.reg,admin.reg。用“记事本”打开admin.reg,将其中“F”值后面的内容复制下来,替换user.reg中的“F”值内容,完成后保存。接下来进入“命令提示符”,输入“net user aaa$ /del”将我们建立的隐藏账户删除。最后,将aaa$.reg和user.reg导入注册表,至此,隐藏账户制作完成。
然后、切断删除隐藏账户的途径
虽然我们的隐藏账户已经在“命令提示符”和“计算机管理”中隐藏了,但是有经验的系统管理员仍可能通过注册表编辑器删除我们的隐藏账户,那么我们可以
打开“regedt32.exe”,来到“HKEY_LOCAL_MACHINE SAM SAM”处,设置“SAM”项的权限,将“administrators”所拥有的权限全部取消即可。之后便无法再进行权限操作。
注:虽然按照上面的方法可以很好得隐藏账户,但是操作显得比较麻烦,并不适合新手,而且对注册表进行操作危险性太高,很容易造成系统崩溃。建议借助专门的账户隐藏工具来进行隐藏工作。
查看并清除隐藏账户
1> 添加“$”符号型隐藏账户
对于这类隐藏账户的检测比较简单。我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。也可以直接打开“计算机管理”进行查看,添加“$”符号的账户是无法在这里隐藏的。
2> 修改注册表型隐藏账户
在“HKEY_LOCAL_MACHINE SAM SAM Domains Account Users Names”,把这里存在的账户和“计算机管理”中存在的账户进行比较,多出来的账户就是隐藏账户了。想要删除,直接删除以隐藏账户命名的项即可。
3> 无法看到名称的隐藏账户
如果制作了一个修改注册表型隐藏账户,并删除了管理员对注册表的操作权限。那么管理员是无法通过注册表删除隐藏账户,也无法知道隐藏账户名称。我们可以借助“组策略,“计算机配置中的“审核策略”,双击右边的“审核策略更改”,在弹出的设置窗口中勾选“成功”,然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。
4> 开启登陆事件审核功能
进行登陆审核后,我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称,甚至登陆的时间。即使将所有的登陆日志删除,系统还会记录是哪个账户删除了系统日志。
5> 通过事件查看器找到隐藏帐户
得知隐藏账户的名称后,因不能删除这个隐藏账户,我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称 987654321”更改这个隐藏账户的密码,使隐藏账户就会失效。
更多相关内容 -
Windows2012绑定域账户FTP安装和权限、配额设置
2019-04-24 14:54:41windows2012安装FTP,配置,权限设置,绑定域账户,员工个人文件夹配额 -
Windows_Server_2008_域及账户管理
2013-04-27 14:26:00WindowsServer2008域及账户管理 -
Windows账户设置指南
2020-10-20 17:36:18Windows账户设置指南 前段时间电脑进系统特别慢,一直以为是之前删双系统导致的,改了启动引导后还是无效,于是就重装了系统,重装后果然解决了,但是windows账户设置却出了问题,之前一直是激活时直接登录账号解决...Windows账户设置指南
前段时间电脑进系统特别慢,一直以为是之前删双系统导致的,改了启动引导后还是无效,于是就重装了系统,重装后果然解决了,但是windows账户设置却出了问题,之前一直是激活时直接登录账号解决了,这次跳过了这一步就出了问题,windows默认是administer账户,这个不是一般的管理员账户,是超级管理员账户!一开始不懂,后来明白了该如何设置这个账户,现在跟大家分享一波。
这个账户官方也是不推荐普通用户使用的!
1 使用这个账户是无法设置windows hello的,就是你的面部识别和指纹都没法用了。
2 这个账户开着,你就算在新建一个用户,很多软甲也是无法正常使用的,就比如我的电脑是联想的,他的联想电脑管家就没法用。
3 这个账户开着,其他账户没有管理员权限的
4 这个账户级别太高,有风险。
5 只有windows专业版才有这个烦恼那么如何解决呢?
新建账户之后,之前账户的软件很多东西都没法用了,但是他们的文件还会留在那,所以最好早早设好账户。
主要就是新建一个账户,添加到管理员组,停用windows默认的(超级)管理员账户。图文教程如下:
先按WIN + X;
选择计算机管理;选择本地用户和组选项;
点进用户那,第一个Administrator就是默认的超级管理员账户,有个小箭头表示被禁用了。空白处右键,选择新用户,创建一个新的用户。
点进组那个选项
在管理员组右键——添加到组——添加——在输入对象名称来选择框——输入你刚建的用户——检查用户——确认。
关闭管理员账户内容
然后切换到新用户——回到这个界面——禁用管理员账户。
-
查看WINDOWS账户密码 支持windows 7
2009-04-19 19:04:57最新测试支持windows 7,只是win 7账户加密算法貌似更进一步,同样密码在XP下可以轻松查出,至于win 7就要求上天保佑了!!! 可以去官网下最新版实验一下。 该工具可以查看widows 系统账户密码需要有管理员权限,... -
营救windows账户
2011-02-25 13:26:43营救windows账户营救windows账户营救windows账户 -
Windows留后门--教程(一)——Windows系统隐藏账户
2022-03-14 14:51:25一、Windows系统隐藏账户介绍 系统隐藏账户是一种最为简单有效的权限维持方式,其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户,因为是隐藏账户,所以防守方是无法通过控制面板或命令行看到这个账户的。 ...一、Windows系统隐藏账户介绍
系统隐藏账户是一种最为简单有效的权限维持方式,其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户,因为是隐藏账户,所以防守方是无法通过控制面板或命令行看到这个账户的。
二、Windows系统添加隐藏账户-教程
前提条件: 假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
环境: windows Server2012 IP: 192.168.226.1282.1 第一种情况:攻击者控制某台机器,并执行添加用户指令
net user wxiaoge$ w123456! /add #添加hacker$隐藏用户 net localgroup administrators wxiaoge$ /add #将hacker$用户添加进管理员组中
注意一:
此时虽然使用命令行无法看到 wxiaoge$ 隐藏用户,但是采用其它方法仍旧可以发现wxiaoge$ 隐藏用户,为了更好的隐藏新建的账户,还需要进行修改注册表文件操作。注意二:
1、打开windws server 2012的远程桌面功能
2、需将新创建的隐藏账户 wxiaoge$ 添加在允许远程桌面用户的位置,默认只允许 Administrator,不然隐藏账户 wxiaoge$ 无法登录
3、远程登录隐藏账户 wxiaoge$ 时,账户名是wxiaoge$ 密码是w123456!
查看wxiaoge$ 隐藏用户方法一:
通过 控制面板(控制面板-》用户账户-》管理账户)依然还是可以看到 wxiaoge$ 账户存在的。
查看wxiaoge$ 隐藏用户方法二:
通过管理工具-》计算机管理-》本地用户和组-》用户 依然还是可以看到 wxiaoge$ 账户存在的。
2.2 第二种情况:修改注册表文件
首先打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”,将Administrator用户的权限,设置成“完全控制”,然后重新打开注册表,确保可以看到SAM路径下的文件。
2.2.1 输入命令:regedt32 打开注册表
2.2.2 找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”
2.2.3 将Administrator用户的权限,设置成“完全控制”,
2.2.4 重新打开注册表,确保可以看到SAM路径下的文件
2.2.5 其次前往SAM/Domains/Account/Users/Names处,选择Administrator用户,在右侧的键值处可以找到对应的值如0x1f4,然后从左侧的Users目录下可以找到对应的文件。
2.2.6 然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户wxiaoge$所对应的文件,并将从Administrator文件中复制出来的F值粘贴进 wxiaoge $文件中。
2.2.7 最后将wxiaoge $ 和000003EB从注册表中右键导出,并删除wxiaoge$用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现wxiaoge用户的隐藏。
导出
删除 wxiaoge$ 账户
点击刚刚导出保存的 wxiaoge和3EB,点击之后会自动导入注册表,下图是导入成功的
此时 wxiaoge 隐藏账户在 “控制面板(控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"均未发现,成功隐藏
三、添加Windows系统隐藏账户——应急响应发现
查看注册表,在注册表中 HKEY_LOCAL_MACHINE\SA\SAM\Domains\Account\Users\Names 位置可以看到所有的用户名,将这些用户名与 “控制面板(控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"进行对比,不存在的账户就是隐藏账户
成功发现隐藏账户 wxiaoge
处置方式: 将注册表中的 wxioage$ 账户以及其对应的 000003EB 删除即可删除该后门账户更多资源:
1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥
-
Windows 11 修改本地账户名称
2022-03-05 10:06:09Windows 11 修改本地管理账户名称 第一种情况( Win 11 家庭版 ) 打开控制面板 点击 用户账户 继续点击 用户账户 点击 更改账户名称 , 输入新的账户名,然后点击更改名称就可以了 第二种情况( Win 11 专业版 ... -
Windows用户账户控制详解
2019-12-19 20:40:10从Windows Vista开始,Windows就引入了一个新的安全功能——用户账户控制(UAC),到现今的Win10仍然在沿用。此程序大大降低了系统被恶意程序攻击的可能性,减少了普通用户误操作对系统造成的破坏,但如果对此功能... -
误删Windows账户恢复方案
2019-04-28 14:14:43通常unix系统可以修改passwd文件,但是windows不能。 我这里使用了RunasSystem和注册表编辑器实现修改用户id。以下测试方案在windows7虚拟机中测试通过,在win10目标机测试通过。 测试流程如下: 1.当前用户名是... -
在Windows 使用Administrator账户
2021-05-19 17:18:20和Win7/Win8.1一样,Win10的管理员账户Administrator是默认隐藏和关闭的,因为该账户权限极高,被不法分子利用后存在极大风险。但如果你想在某些特殊情况下使用该账户,就需要手动将其开启,并且最好在使用之后及时... -
windows10 家庭版 “当前账户已锁定“的解决方式
2022-01-10 13:15:48解决Windows10家庭版账户已锁定问题 -
windows添加用户账户
2021-06-26 09:46:12windows server 2003,"我的电脑"->右键“管理” “本地用户和组”->右键“用户”->“新用户” 点击创建以后就创建了common用户账户,该账户为非Administrator账户。可以用该账户登录系统。===============... -
【Windows】Windows10 无法登录 Microsoft 账户的解决方案
2022-01-30 19:55:58本文记录 Windows10 无法登录 Microsoft 账户的解决方案. -
Win7系统隐藏账户查看与删除方法图文教程
2021-06-16 09:49:15由于每个用户对电脑系统账户设置需求不同,不妨用户会给自己系统下创建...笔记本win7系统隐藏账户查看与删除方法/步骤:1、先看一下,原有的账户中是如何显示的?使用鼠标右键点击计算机→管理2、计算机管理→本地... -
win11如何开启GUEST账户 windows11开启GUEST账户的设置方法
2022-02-16 18:02:35更多windows11系统教程,可以参考小白一键重装网。 Win11开启Guest账号的方法 方法一 1、首先确保你没有安装其他模拟器软件。 2、接着展开左侧“本地用户和组”,进入“用户”选项。 3、再双击右边的... -
Windows 中的 UAC 用户账户控制
2019-05-05 09:02:07阅读本文,你可以初步了解 Windows 上的 UAC 用户账户控制机制。本文不会涉及到 UAC 的底层实现原理和安全边界问题。 本文内容用户账户UAC 通知等级完整性级别(Integrity Level)权限提升 用户账户 在 Windows 中... -
windows创建影子账户
2021-04-14 20:38:241、创建隐藏账户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 2、运行regedit打开注册表 对HKEY_LOCAL_MACHINE/SAM/SAM右键->权限赋予当前用户administrator的具有完全... -
使用hashcat破解Windows账户密码
2019-10-26 02:46:10使用hashcat破解Windows账户密码 (使用提供的资源直接完成实验,包括破解工具) hashcat简介 Hashcat是自称世界上最快的密码恢复工具。它在2015年之前拥有专有代码库,但现在作为免费软件发布。适用于Linux,OS X和... -
四种方法教你退出Windows10账户
2021-06-18 06:16:53如何退出Windows10账户?Win10系统用户在电脑中打开某些程序时,经常会遇到提示“你要允许以下程序对此计算机进行更改吗?”。很多用户都觉得这个提示很烦人,希望能够把用户帐户控制关闭掉,如何退出windows10系统... -
win11用户账户如何取消 windows11取消用户账户的设置方法
2021-12-27 14:27:10在使用Win11系统过程中,用户账户控制其实很影响日常的使用体验,那么该怎么将其取消呢?下面就和大家分享一下如何更改win11用户账户控制设置吧,大家可以根据步骤自己操作一下。更多win11系统教程,可以参考小白一键... -
win11如何创建访客账户 windows11创建访客账户的设置方法
2022-02-18 17:56:53如何在Windows11上创建访客帐户?Win11系统是现在非常火热的电脑操作系统,由于是全新的电脑系统,很多新的功能很多用户还不是很熟练,今天小编为大家带来在Windows11上创建本地访客帐户的教程,快来看看吧!更多... -
windows修改管理员账户名字
2021-03-31 08:40:29在命令行中执行 gpedit,出现以下界面,根据图示进行选择可以找到重命名系统管理员账户的地方 -
关于windows系统影子账户的问题
2019-08-03 00:39:22Windows账户的SID 在Windows系统中,系统会为每个用户账户建立一个唯一的安全标识符(Security Identifier,SID),在Windows系统的内部核心,都是利用SID而不是用户的账户名称来表示或识别每个用户的。SID综合用户... -
什么是windows用户账户
2018-04-18 10:46:44下面笔者就简单地向大家介绍一下Windows的的用户账户系统以及基本操作方法。 账户的作用 账户有什么用?按照很多人的理解,账户的存在就是为了防止他人使用计算机,其实这只是计算机账户的一个最基本功能而已。..... -
windows下修改git登录账户的密码
2019-11-29 09:17:421. 致谢: 本文转载自... 感谢CSDN博主UTF杠8的分享!! ---------------------------------------------------------- 2. 问题: ...git账户修改了密码,导致在windows下的git客户端中执行git命令... -
windows10进入/退出管理员账户(Administrator)方法
2021-11-13 11:12:57当自己的原来的电脑账户崩溃时,或者权限不足时,就需要通过进入管理员模式进行操作,进入方法如下: 方法一:通过命令窗口进入(适用于windows家庭版/教育版) 在windows左下角点击搜索框,搜索:命令提示符 ... -
开启Windows 10来宾账户
2021-06-25 07:25:59出于安全考虑,Windows 10默认以管理员账户登录,没有开启来宾账户。但对于那些只需在电脑上浏览网页或收看电子邮件的用户,给他们开启来宾账户非常必要。来宾权限或账户的开启,可以通过下面的两种方法。(电脑入门... -
Windows10开机自动登录账号,设置指定账户自动登录系统
2021-12-22 22:30:28一、使用用户账户对话框配置 1、“Win+R”组合键打开“运行”,输入以下命令,并点击回车 netplwiz 或 control userpasswords2 或 rundll32 netplwiz.dll,UsersRunDll 2、在最新Windows10中,用户账户对话框中未... -
Windows系统管理员账户和普通账户的详细权限区别有哪些?
2021-07-11 01:51:20在 Windows vista或是windows 7中,有两个级别的用户:标准用户和管理员。标准用户是计算机 Users 组的成员;管理员是计算机 Administrators 组的成员。与以前版本的 Windows 不同,默认情况下标准用户和管理员都会...