黑客攻防实战 Windows系统克隆攻击与防范第1/2页

随着电脑技术的发展和电脑的普及,还有大大小小的“骇客”网站和越来越简单的工具,使得目前攻击变得日趋频繁,被植入木马的电脑或服务器也越来越多,与此同时系统管理员的安全意识也在不断提高,加上杀毒软件的发展,网络木马的生命周期也越来越短,所以攻击者在获取了服务器的控制权限后,一般使用克隆用户或者安装SHIFT后门达到隐藏自己的目的,下面就由我给大家介绍一些常见的克隆用户和检查是否存在克隆用户及清除的方法。

一、克隆账号的原理与危害

1.克隆账号的原理

在注册表中有两处保存了账号的SID相对标志符,一处是注册表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers 下的子键名,另一处是该子键的子项F的值。但微软犯了个不同步它们的错误,登录时用的是后者,查询时用前者。当用Administrator的F项覆盖其他账号的F项后,就造成了账号是管理员权限,但查询还是原来状态的情况,这就是所谓的克隆账号。

安全小知识:SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机账户的唯一的号码。在第一次创建该账户时,将给网络上的每一个账户发布一个唯一的 SID。Windows 2000 中的内部进程将引用账户的 SID 而不是账户的用户或组名。如果创建账户,再删除账户,然后使用相同的用户名创建另一个账户,则新账户将不具有授权给前一个账户的权力或权限,原因是该账户具有不同的 SID 号。

2. 克隆账号的危害

当系统用户一旦被克隆,配合终端服务,就等于向攻击者开启了一扇隐蔽的后门,让攻击者可以随时进入你的系统,这一扇门你看不到,因为它依靠的是微软的终端服务,并没有释放病毒文件,所以也不会被杀毒软件所查杀。

二、克隆用户的常用方法

1.手工克隆方法一

在Windows 2000/xp/2003和Windows NT里,默认管理员账号的SID是固定的500(0x1f4),那么我们可以用机器里已经存在的一个账号将SID为500的账号进行克隆,在这里我们选择的账号是IUSR_XODU5PTT910NHOO(XODU5PTT910NHOO为已被攻陷的服务器机器名。为了加强隐蔽性,我们选择了这个账号,所有用户都可以用以下的方法,只不过这个用户较常见罢了)

我们这里要用到的一个工具是PsExec,一个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。PsExec 最强大的功能之一是在远程系统和远程支持工具(如 IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。
执行:psexec -i -s -d cmd运行一个System的CMD Shell,如图1所示。






 
图1

得到一个有system权限的cmd shell,然后在该CMD Shell里面运行“regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4”,这样我们将SID为500(0x1f4)的管理员账号的相关信息导出,如图2所示。






 
图2

然后编辑admin.reg文件,将admin.reg文件的第三行HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4中的“1F4”修改为IUSR_XODU5PTT910NHOO的SID,将文件中的“1F4”修改为“3EB”,如图3所示。






 
图3

保存之后,然后执行如下命令:“regedit /s admin.reg”,导入该admin.reg文件,最后执行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令,修改IUSR_XODU5PTT910NHOO的密码为n3tl04d。这里建议最好使用14位的密码,也就是说越像 IUSR_XODU5PTT910NHOO的密码越好,现在,就可以使用IUSR_XODU5PTT910NHOO密码为n3tl04d远程登录了,和管理员一样的配置环境!如图4所示。






 
图4

注意:大部份机器里IUSR_MACHINE用户的SID都为0x3E9(如果机器在最初安装的时候没有安装IIS,而是自己创建了账号后再安装IIS就有可能不是这个值了),如果不确定,可以使用:
“regedit /e sid.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\IUSR_MACHINE”命令先导出注册表,然后编辑sid.reg文件,就可以看到SID为“3EB”,如图5所示。






 
图5

2.手工克隆方法二

另外一种克隆账户的方法是:首先运行regedt32.exe,展开注册表到HKEY_LOCAL_MACHINE\SAM\SAM,然后点菜单栏的“编辑”→“权限”(Windows 2000是菜单栏的“安全”→“权限”),会弹出“SAM的权限”窗口,点击Administrators,在该窗口中勾选允许完全控制,(Windows 2000是在该窗口中勾选“允许将来自父系的可继承权限传播给该对象”)然后点击“确定”按钮。如图6所示。






 
图6

再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00001F4,双击右边窗口中的“F”项,如图7所示。






 
图7
选取全部内容,然后点击鼠标右键选“复制”,再打开HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00003EB下的F项,将刚才复制的内容粘贴进去,这样我们就将IUSR_XODU5PTT910NHOO账号克隆成了管理员,再将刚才SAM目录的权限给删掉,以免被人发现。

3.使用mt克隆

mt.exe是一款非常强大的网络工具,它主要以命令行方式执行,可以开启系统服务,检查用户以及直接显示用户登陆密码等。它就象一把双刃剑,入侵者和系统管理员都要使用它,但由于常被入侵者使用,所以被很多杀毒软件列为病毒。
关于MT的详细测试报告可以到http://www.antian365.com/bbs/viewthread.php?tid=2786&extra=page%3D1&frombbs=1了解。克隆用户的用法如下:
mt -clone
如:mt -clone adminstrator IUSR_XODU5PTT910NHOO
如图8所示。






 
图8
就是把管理员账号administrator克隆为IUSR_XODU5PTT910NHOO账号。最后执行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令,修改IUSR_XODU5PTT910NHOO的密码为n3tl04d。

4.使用AIO克隆

AIO(All In One)是WinEggDrop写的一个把很多小工具功能集成一体的一个“工具”,其中有克隆用户、修改服务的启动类型、删除系统账户、检查系统隐藏服务、端口扫描和端口转发等等。

使用AIO克隆很简单,就是: Aio.exe -Clone 正常账号 要被克隆账户 密码
如: Aio.exe -Clone Administrator IUSR_XODU5PTT910NHOO n3tl04d
这样就可以用IUSR_XODU5PTT910NHOO\n3tl04d作为管理员登录了。
如图9所示。






 
图9

5.使用CA克隆

ca.exe 小榕编写的一个远程克隆账号工具,当然本地克隆也没问题。
用法如下:ca \\ip地址 管理员用户名 管理员密码 克隆的用户 密码
如:ca \\127.0.0.1 administrator 123456 IUSR_XODU5PTT910NHOO 123456
如图10所示。






 
图10

6.建立隐藏账号

需要使用的工具叫adhider,是锦毛鼠写的一个专门建立隐藏用户的工具。此工具有个缺点,那就是当服务器重启后,用户就隐藏不了,会在用户管理中显示出来。
用法如下:adhider 用户名 密码
如:adhider n3tl04d$\123456
如图11所示。






 
图11
创建成功后就可以使用
n3tl04d$\123456登录,得到和管理员权限。

7.使用clone克隆

clone是28度的冰写的一个克隆工具,只支持windows2003和windowsxp,不支持windows2000。此工具有个缺点,那就是当服务器重启后,用户就隐藏不了,会在用户管理中显示出来。
用法如下:Clone.exe 用户名 密码
如:clone n3tl04d 520mm
如图12所示。






 
图12

就可以使用n3tl04d\520mm登录,得到和管理员权限。

注意:在Windows 2003下如果使用clone克隆后,再使用MT检查,会提示你没有系统权限,此时需要重启电脑或者运行一个有system权限的cmd才能使用MT检查。

当前1/2页 12下一页阅读全文

(0)

相关推荐

  • 黑客攻防实战 Windows系统克隆攻击与防范第1/2页

    随着电脑技术的发展和电脑的普及,还有大大小小的"骇客"网站和越来越简单的工具,使得目前攻击变得日趋频繁,被植入木马的电脑或服务器也越来越多,与此同时系统管理员的安全意识也在不断提高,加上杀毒软件的发展,网络木马的生命周期也越来越短,所以攻击者在获取了服务器的控制权限后,一般使用克隆用户或者安装SHIFT后门达到隐藏自己的目的,下面就由我给大家介绍一些常见的克隆用户和检查是否存在克隆用户及清除的方法. 一.克隆账号的原理与危害 1.克隆账号的原理 在注册表中有两处保存了账号的SID相对标

  • 防止黑客侵入你正在使用的Windows系统(克隆管理员账户)

    防止黑客侵入你正在使用的Windows系统 当黑客入侵一台主机后,会想方设法保护自己的"劳动成果",因此会在肉鸡上留下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术.在肉鸡上建立一个隐藏的账户,以备需要的时候使用.账户隐藏技术可谓是最隐蔽的后门,一般用户很难发现系统中隐藏账户的存在,因此危害性很大,本文就对隐藏账户这种黑客常用的技术进行揭密. 在隐藏系统账户之前,我们有必要先来了解一下如何才能查看系统中已经存在的账户.在系统中可以进入"命令提示符",控制

  • 为什么选择python编程语言入门黑客攻防 给你几个理由!

    如果选择一门编程语言来入门黑客攻防的话,你觉得哪个最合适?不如来试试Python,或许会是一次很好的尝试哦~ Python 语言的优点 目前,Python 在各领域都有着广泛的应用.由此可见,作为一种编程开发语言,Python 拥有众多优点,其语法简单易学且支持多种库,相同代码可以运行于多种平台. ■ 易学易用 学习一种新编程语言时,往往会遇到各种各样的问题.为了解决这些问题,Python 语言做了大量努力.比如,Python 中不必声明变量类型,而在运行时动态确定.此外,也不需要用户对内存进行

  • PowerShell小技巧之获取Windows系统密码Hash

    当你拿到了系统控制权之后如何才能更长的时间内控制已经拿到这台机器呢?作为白帽子,已经在对手防线上撕开一个口子,如果你需要进一步扩大战果,你首先需要做的就是潜伏下来,收集更多的信息便于你判断,便于有更大的收获.用什么方法才能有尽可能高的权限,同时能更有效的隐藏自己,是留webshell,留后门,种木马还是Rootkit?webshell,哪怕是一句话木马都很容易被管理员清除,放了木马,也容易被有经验的管理员查出,不管是早期自己创建进程,进程被干掉就完了,还是注入进程的木马,或者是以服务自启动的木马

  • windows 系统防火墙 添加端口号方法

    目前在大部分公司内使用的台式机和部分服务器都采用了Windows操作系统,而我么都知道相当一部分病毒.恶意程序.黑客都是利用扫描端口号,利用开放的端口进行入侵,此时大型企业都会将服务器的系统防火墙打开来关闭非常用端口.有些程序安装后可能会自动添加开放需要用到的端口,而有些软件则没有这么智能:又或者我们需要改变某个程序的端口号,改变后如果没有在系统防火墙中添加的话,那么连接就会被防火墙阻止掉,导致连接失败. 添加方法: 1.在<控制面板>中找到<Windows防火墙>点击打开. 2.

  • 在Linux和Windows系统上安装Nginx服务器的教程

    1.在CentOS系统上安装Nginx 在 CentOS6 版本的 EPEL 源中,已经加入了 nginx 的 rpm 包,不过此 RPM 包版本较低.如果需要更新版本,可以使用官方制作的 rpm 包,或者使用源码包编译安装. 还可以使用一些二次开发功能增强的 nginx 版本,例如淘宝的 Tengine 和 OpenResty 都是不错的选择. 1.1 常用编译参数 --prefix=PATH:指定 nginx 的安装目录     --conf-path=PATH:指定 nginx.conf

  • windows系统下简单nodejs安装及环境配置

    相信对于很多关注javascript发展的同学来说,nodejs已经不是一个陌生的词眼.有关nodejs的相关资料网上已经铺天盖地.由于它的高并发特性,造就了其特殊的应用地位. 国内目前关注最高,维护最好的一个关于nodejs的网站应该是http://www.cnodejs.org/  这里不想谈太多的nodejs的相关信息.只说一下,windows系统下简单nodejs环境配置. 第一步:下载安装文件 下载地址:官网http://www.nodejs.org/download/  这里用的是

  • NtGodMode.exe任意密码登录windows系统帐号下载

    作者:golds7n[LAG] 大小:9216 Bytes MD5 :7026217dc72aa564a2834995d7a7b017 来源:安全焦点 --------– NtGod Private Powered By golds7n[LAG] --------– Usage: NtGodMode.exe ON|OFF NTGod NT上帝模式,打开上帝模式可以用任意密码登录任意windows系统帐号,从而达到不增加帐号.不破坏被入侵主机系统的情况下,登录系统帐号. 情 景再现: 当你在进行主

  • Windows系统下nodejs、npm、express的下载和安装教程详解

    1. node.js下载 首先进入http://nodejs.org/dist/,这里面的版本呢,几乎每个月都出几个新的,建议大家下载最新版本,看看自己的电脑是多少位的,别下错了. 下载完解压到你想放的位置就好了,解压后你会发现里面有node.exe.我解压到了D:\software_install文件夹. 接下来去命令行,即点击电脑左下角的开始-->运行-->cmd. 进入node.exe所在的目录,输入node -v,查看你的node版本.我的路径如下图所示: 如果你获得以上输出结果,说明

  • Windows系统下多版本pip的共存问题详解

    前言 可能很多人一看到这个标题直接就关闭了,这么简单和low的问题有必要说出来吗?一看就知道是个Python的小白.如果你是这么想的话,那么就没有必要看下去了,因为对你来说也没有什么帮助. 这个问题,确实很简单,简单的不能再简单.但是在实际工作中确实会遇到. 实话说,对于经常在gentoo.archlinux这类版本上玩的人来说,完全可以不考虑这个问题.但是,你的同事或朋友却不一定与你一样. 在这里,我们要解决2个问题: 多版本pip共存问题 多版本Python共存问题 说到这里,可能会有人说直

随机推荐