賬戶管理與權(quán)限提升

1、賬戶管理與權(quán)限提升【實(shí)驗(yàn)原理】系統(tǒng)賬戶管理是系統(tǒng)安全的重要組成部分，攻擊者多通過(guò)獲取或創(chuàng)建賬戶并提升權(quán)限來(lái)獲取對(duì)系統(tǒng)的控制權(quán)。net user 命令用于添加或更改用戶賬號(hào)或顯示用戶賬號(hào)信息；可通過(guò) net localgroup administration用戶名 /add 為用戶提升權(quán)限；net share 命令用于創(chuàng)建或刪除或顯示系統(tǒng)共享資源；net start 命令用于啟動(dòng)服務(wù)或顯示已啟動(dòng)服務(wù)的列表；Telnet 服務(wù)為 Windows 系統(tǒng)自帶服務(wù)。 用于遠(yuǎn)程用戶連接本地系統(tǒng)的命令行；可用作后門(mén)連接使用；默認(rèn)開(kāi)放端口為23。【實(shí)驗(yàn)環(huán)境】本地主機(jī) (WindowsXP) 、 Windows

2、 實(shí)驗(yàn)臺(tái)實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)淙缦聢D所示，實(shí)驗(yàn)?zāi)繕?biāo)需首先確定所在主機(jī)實(shí)驗(yàn)臺(tái)驟填寫(xiě)正確的IP 地址進(jìn)行實(shí)驗(yàn)。IP地址，并根據(jù)實(shí)驗(yàn)步本地主機(jī)Windows實(shí)驗(yàn)臺(tái)圖【實(shí)驗(yàn)步驟】一、 本地管理賬戶：本地管理賬戶主要通過(guò)三種方式進(jìn)行用戶賬戶查看管理(1) 通過(guò)命令行格式直接進(jìn)行查看在命令行直接輸入 net user，即可對(duì)系統(tǒng)的基本賬戶進(jìn)行查看，但是此種方法無(wú)法查看用戶名為“用戶名 $”形式的用戶。(2) 通過(guò)管理工具圖形界面進(jìn)行查看打開(kāi)管理工具中計(jì)算機(jī)管理， 進(jìn)入本地用戶和組， 點(diǎn)擊用戶便可對(duì)系統(tǒng)賬戶進(jìn)行查看， 包括系統(tǒng)賬戶的用戶名權(quán)限等信息的查看及修改。(3) 通過(guò)查看注冊(cè)表信息主用戶賬戶信息進(jìn)行查看在運(yùn)行

3、中輸入 regedit，進(jìn)入注冊(cè)表后打開(kāi) HKEY_LOCAL_MACHINEsamsam ，右鍵點(diǎn)擊 SAM ，選擇權(quán)限，為 Administrator 用戶添加權(quán)限。圖圖關(guān) 閉 注 冊(cè) 表 ， 再 次 在 運(yùn) 行 中 輸 入 regedit ， 進(jìn) 入 注 冊(cè) 表 后 打 開(kāi)HKEY_LOCAL_MACHINEsamsamDomainsaccountusers,user 下面的 Names 中各個(gè)鍵的鍵值與上面的信息是一致的圖此種查看方式能夠?qū)θ康南到y(tǒng)賬戶進(jìn)行查看， 但是不易對(duì)賬戶信息修改， 因?yàn)楦鱾€(gè)賬戶信息均有系統(tǒng)生成十六位進(jìn)制信息。二、 本地建立隱藏賬戶：(1) 建立賬戶點(diǎn)擊“開(kāi)始”

4、“運(yùn)行” ，輸入“ CMD ”運(yùn)行“命令提示符” ，輸入“ net user abc$ 123 /add” 回車，成功后會(huì)顯示“命令成功完成” 。接著輸入“ net localgroup administrators abc$ /add ”回車，這樣就利用“命令提示符”成功地建立了一個(gè)用戶名為“ abc$”，密碼為“ 123”的簡(jiǎn)單“隱藏賬戶” ,并且把該隱藏賬戶提升為管理員權(quán)限。查看隱藏賬戶的建立是否成功。在“命令提示符”中輸入查看系統(tǒng)賬戶的命令“ net user”，回車后會(huì)顯示當(dāng)前系統(tǒng)中存在的賬戶。從返回的結(jié)果中可以看到剛才建立的 “ abc$”這個(gè)賬戶并不存在。接著讓進(jìn)入控制面板的“管

5、理工具” ，打開(kāi)其中的“計(jì)算機(jī)” ，查看其中的“本地用戶和組” ，在“用戶”一項(xiàng)中，剛建立的隱藏賬戶“abc$”便可以查看到。圖總結(jié)得出的結(jié)論是：這種方法只能將賬戶在“命令提示符”中進(jìn)行隱藏，在“計(jì)算機(jī)管理”中對(duì)此種賬戶查看顯而易見(jiàn)。(2) 在“注冊(cè)表”中進(jìn)行賬戶隱藏以上可以看到用命令提示符隱藏賬戶的方法缺點(diǎn)很明顯，很容易暴露。 那么有沒(méi)有可以在 “命令提示符” 和“計(jì)算機(jī)管理”中同時(shí)隱藏賬戶的技術(shù)呢？答案是肯定的，而這一切只需要我們?cè)凇白?cè)表”中進(jìn)行一番小小的設(shè)置，就可以讓系統(tǒng)賬戶在兩者中完全不能查看。(3) 給管理員注冊(cè)表操作權(quán)限在注冊(cè)表中對(duì)系統(tǒng)賬戶的鍵值進(jìn)行操作，需要到“HKEY_LOC

6、AL_MACHINESAMSAM”處進(jìn)行修改， 但是當(dāng)來(lái)到該處時(shí)，會(huì)發(fā)現(xiàn)無(wú)法展開(kāi)該處所在的鍵值。這是因?yàn)橄到y(tǒng)默認(rèn)對(duì)系統(tǒng)管理員給予“寫(xiě)入DAC ”和“讀取控制”權(quán)限，沒(méi)有給予修改權(quán)限，因此不能對(duì)“SAM ”項(xiàng)下的鍵值進(jìn)行查看和修改。不過(guò)可以借助系統(tǒng)中另一個(gè)“注冊(cè)表編輯器”給管理員賦予修改權(quán)限。點(diǎn)擊“開(kāi)始”“運(yùn)行”，輸入“ regedt.exe”后回車，隨后會(huì)彈出另一個(gè)“注冊(cè)表編輯器”，平時(shí)使用的 “注冊(cè)表編輯器”不同的是它可以修改系統(tǒng)賬戶操作注冊(cè)表時(shí)的權(quán)限（為便于理解，以下簡(jiǎn)稱regedt.exe）。在 regedt.exe 中打開(kāi)“ HKEY_LOCAL_MACHINESAMSAM”處，點(diǎn)擊“

7、安全” 菜單 “權(quán)限”，在彈出的 “ SAM 的權(quán)限” 編輯窗口中選中 “ administrators ”賬戶，在下方的權(quán)限設(shè)置處勾選“完全控制”，完成后點(diǎn)擊“確定”即可。然后我們切換回“注冊(cè)表編輯器” ，可以發(fā)現(xiàn)“ HKEY_LOCAL_MACHINESAMSAM ”下面的鍵值都可以展開(kāi)了。(4) 將隱藏賬戶替換為管理員打 開(kāi) 注 冊(cè) 表 編 輯 器 “ HKEY_LOCAL_MACHINESAMSAMDomainsAccount UsersNames”，當(dāng)前系統(tǒng)中所有存在的賬戶都會(huì)在這里顯示，當(dāng)然包括我們的隱藏賬戶。點(diǎn)擊我們的隱藏賬戶“ abc$”，在右邊顯示的鍵值中的“類型”一項(xiàng)顯示為

8、 0x3fa ，向上來(lái)到 “ ”處，可以找到 “ 000003fa”這一項(xiàng)，這兩者是相互對(duì)應(yīng)的，隱藏賬戶“abc$”的所有信息都在“000003fa”這一項(xiàng)中。同樣的，我們可以找到“administrator ”賬戶所對(duì)應(yīng)的項(xiàng)為“000001F4”。圖將“ abc$”的鍵值導(dǎo)出為 abc$.reg，同時(shí)將“ 000003Fa”和“ 000001F4”項(xiàng)的 F 鍵值分別導(dǎo)出為 user.reg， admin.reg。用“記事本”打開(kāi) admin.reg ，將其中“ F”值后面的內(nèi)容復(fù)制下來(lái)，替換 user.reg 中的“ F”值內(nèi)容， 完成后保存。 接下來(lái)進(jìn)入 “命令提示符” ，輸入 “net

9、userabc$ /del ”將我們建立的隱藏賬戶刪除。最后，將abc$.reg 和 user.reg 導(dǎo)入注冊(cè)表，至此，隱藏賬戶制作完成。圖三、 遠(yuǎn)程建立隱藏超級(jí)用戶賬戶：(1) 先與遠(yuǎn)程主機(jī)（實(shí)驗(yàn)臺(tái)）建立連接,命令為 :（實(shí)驗(yàn)臺(tái)ip） " /user:administrator(2) 用 at 命令在遠(yuǎn)程主機(jī)上建立一個(gè)用戶(如果 at 服務(wù)沒(méi)有啟動(dòng)， 可用 netsvc.exe、sc.exe或 sc 命令來(lái)遠(yuǎn)程啟動(dòng)。建立這個(gè)加有 $符的用戶名，是因?yàn)榧佑?$符后，命令行下用 net user 將不顯示這個(gè)用戶，但在帳戶管理器卻能看到這個(gè)用戶。(3) 同樣用 at 命令導(dǎo)出HKEY

10、_LOCAL_MACHINEsamsamDomainsaccountusers下鍵值（先需 administrator 用戶對(duì)注冊(cè)表的訪問(wèn)權(quán)限，在遠(yuǎn)程主機(jī)的運(yùn)行中輸入regedit，進(jìn)入注冊(cè)表后打開(kāi)HKEY_LOCAL_MACHINEsamsam，右鍵點(diǎn)擊SAM ，選擇權(quán)限，為Administrator用戶添加權(quán)限） ：SAMSAMDomainsaccountusers/e是 regedit 的 參 數(shù) ， 在 HKEY_LOCAL_MACHINE 這個(gè)鍵的一定要以 結(jié)尾。必要的情況下可以用引號(hào)將下面引起來(lái)："c:winntregedit.exe /e abc.reg HKEY_LO

11、CAL_MACHINESAMSAMDomainsaccount users"。(4) 將遠(yuǎn)程主機(jī)上的 abc.reg 下載到本機(jī)上用記事本打開(kāi)進(jìn)行編輯命令為：修改的方法已經(jīng)介紹過(guò)了，這里就不作介紹了。(5) 再將編輯好的 abc.reg 拷回遠(yuǎn)程主機(jī)：(6)查看遠(yuǎn)程主機(jī)時(shí)間： net time 13.50.97.238 然后用 at 命令將用戶 abc$刪除 :at 192.168.1.235 11:56 c:windowssystem32net.exe user abc$ /del(7)驗(yàn)證 abc$是否刪除 :用 net use 13.50.97.238 /del 斷開(kāi)與遠(yuǎn)程主機(jī)

12、的連接。用帳戶 abc$與遠(yuǎn)程主機(jī)連接，不能連接說(shuō)明已刪除。(8) 再與遠(yuǎn)程主機(jī)建立連接：再取得遠(yuǎn)程主機(jī)時(shí)間，用at 命令將拷回遠(yuǎn)程主機(jī)的abc1.reg 導(dǎo)入遠(yuǎn)程主機(jī)注冊(cè)表:regedit.exe 的參數(shù) /s 是指安靜模式。(9) 再驗(yàn)證 abc$是否已建立，方法同上面驗(yàn)證abc$是否被刪除一樣。(10) 再驗(yàn)證用戶 abc$是否有讀、寫(xiě)、刪的權(quán)限，(11) 通過(guò) 10 可以斷定用戶abc$具有超級(jí)用戶權(quán)限，因?yàn)樽畛跤胊t 命令建立它的時(shí)候是一個(gè)普通用戶，而現(xiàn)在卻具有遠(yuǎn)程讀、寫(xiě)、刪的權(quán)限。出師表兩漢：諸葛亮先帝創(chuàng)業(yè)未半而中道崩殂， 今天下三分， 益州疲弊， 此誠(chéng)危急存亡之秋也。然侍衛(wèi)之臣不

13、懈于內(nèi)，忠志之士忘身于外者，蓋追先帝之殊遇，欲報(bào)之于陛下也。誠(chéng)宜開(kāi)張圣聽(tīng)，以光先帝遺德，恢弘志士之氣，不宜妄自菲薄，引喻失義，以塞忠諫之路也。宮中府中，俱為一體；陟罰臧否，不宜異同。若有作奸犯科及為忠善者，宜付有司論其刑賞，以昭陛下平明之理；不宜偏私，使內(nèi)外異法也。侍中、侍郎郭攸之、費(fèi)祎、董允等，此皆良實(shí)，志慮忠純，是以先帝簡(jiǎn)拔以遺陛下：愚以為宮中之事，事無(wú)大小，悉以咨之，然后施行，必能裨補(bǔ)闕漏，有所廣益。將軍向?qū)櫍孕惺缇?，曉暢軍事，試用于昔日，先帝稱之曰愚以為營(yíng)中之事，悉以咨之，必能使行陣和睦，優(yōu)劣得所?！澳?”，是以眾議舉寵為督：親賢臣， 遠(yuǎn)小人， 此先漢所以興隆也； 親小人， 遠(yuǎn)賢臣， 此后漢所以傾頹也。 先帝在時(shí)，每與臣論此事， 未嘗不嘆息痛恨于桓、 靈也。 侍中、尚書(shū)、 長(zhǎng)史、 參軍，此悉貞良死節(jié)之臣，愿陛下親之、信之，則漢室之隆，可計(jì)日而待也。臣本布衣，躬耕于南陽(yáng)，茍全性命于亂世，不求聞達(dá)于諸侯。先帝不以臣卑鄙，猥自枉屈，三顧臣于草廬之中，咨臣以當(dāng)世之事，由是感激，遂許先帝以驅(qū)馳。后值傾覆，受任于敗軍之際，奉命于危難之間，爾來(lái)二十有一年矣。先帝知臣謹(jǐn)慎，故臨崩寄臣以大事也。受