系统相关
首页 > 系统相关> > Windows系统隐藏用户及粘贴键后门

Windows系统隐藏用户及粘贴键后门

作者:互联网

Windows系统隐藏用户

该方法是通过建立隐藏账户,制作系统用户远程控制后门,维持目标Windows
系统权限。制作方法跟步骤如下:
已经获取系统权限执行添加用户操作
net user hahaha$ Aa123456 /add
net localgroup administrators hahaha$ /add
net user

在这里插入图片描述

如上图,我们已经创建成功,执行net user命令,发现是看不到hahaha$用户的:

在这里插入图片描述

但是这就结束了吗,没有!虽然上面net user看不见该隐藏用户,
但是在控制面板和计算机管理的本地用户和组中,仍然是可以看的到该用户的:
为了更好地隐藏我们的后门账户,我们还要开启目标主机的远程桌面进行如下操作。
meterpreter > run post/windows/manage/enable_rdp//开启3389服务

在这里插入图片描述

打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SAM\SAM,
单机右建,选择“权限”,把Administrator用户的权限,设置成
“完全控制”权限,然后关闭注册表编辑器,再次打开即可。

在这里插入图片描述

这样SAM下的文件就都能看见了如下图所示
然后,在注册表编辑器的HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names处,点击Administrator用户,在左侧找到和在右边显示的键值的类型一项“0x1f4”相同的目录名,也就是箭头所指目录“000001F4”:

在这里插入图片描述

复制000001F4目录中的F键的值:

在这里插入图片描述

然后找到与隐藏账户hahaha$右边类型的键值“0x3ec”相同的目录名,也就是。

在这里插入图片描述

然后将000001F4的F值粘贴到000003EC的F值中,点击确定:

在这里插入图片描述

然后从注册表中右键导出000003EC和hahaha$,
并删除hahaha$用户 net user hahaha$ /del:

在这里插入图片描述

在这里插入图片描述

此时发现在用户本地组中查不到hahaha$用户,已经被成功隐藏起来。

在这里插入图片描述

最后,将刚才导出的两个后缀为.reg的注册表项导入注册表中:

在这里插入图片描述

最后直接3389连接,输入隐藏的用户名密码即可

在这里插入图片描述

粘滞键后门

如果在电脑上连按五次shift键,发现电脑屏幕上弹出了一个叫做“粘滞键”的程序

在这里插入图片描述

思考一下,如果我们知道了这个程序的绝对路径,那么我们就可以将cmd.exe
伪装成这个粘滞键程序,
当我们连按五次shift键时,便会弹出一个CMD命令行窗口,那么我们
就可以无需登录进系统便可以控制目标主机了。

粘滞键程序名称为“sethc.exe”,其路径为“c:\windows\system32\sethc.exe”。
利用粘滞键做后门是一种比较常见的持续控制方法。
其基本流程如下:

1.	手动或利用工具,找到sethc.exe将其删除或改名为sethc.exe.bak,
2.	接着将cmd.exe程序复制一个副本,并命名为“sethc.exe”
3.	最后,重启计算机再次按下5次Shift键,会弹出CMD界面,后门制作成功

手动执行

在目标主机上执行如下命令即可:
cd c:\windows\system32  
move sethc.exe sethc.exe.bak   // 将sethc.exe重命名
copy cmd.exe sethc.exe       // 将cmd.exe副本保存伪装成sethc.exe

实验注意事项:

该cmd是以system权限运行的,接下来我们就可以无需知道登录密码,
无需登录,直接对目标主机执行各种高权限的操作了,
也完全可以新建一个高权限用户直接登录进入系统,是不是很有意思?
但是,先别高兴地太早了,在一些做了防护的主机上,即使是SYSTEM权限
也是无法修改sethc.exe的:
解决方法:
只有TrustedInstaller权限才可以,这时,我们就要先模拟一个TrustedInstaller
权限的令牌获取TrustedInstaller权限,
然后再执行上述操作。我们的思路如下:

当我们启动TrustedInstaller服务时会启动进程TrustedInstaller.exe,
该程序的权限为NT SERVICE\TrustedInstaller,那么我们就可以窃取该
进程的令牌。
首先进入shell启动TrustedInstaller服务:
sc.exe start TrustedInstaller

在这里插入图片描述

然后利用令牌窃取TrustedInstaller权限

use incognito
ps      # 找到TrustedInstaller的进程PID,这里为1056
steal_token <PID>      # 从该进程中窃取令牌
getuid

在这里插入图片描述

实验成功截图:连续按五次shift键即可弹出cmd窗口

在这里插入图片描述

针对粘滞键后门的防范措施:
远程登录服务器时,连续按5此shift

标签:后门,exe,Windows,用户,TrustedInstaller,粘贴,hahaha,权限,sethc
来源: https://blog.csdn.net/qq_43590351/article/details/120146527