说一个隐蔽克隆帐号的方法 庆祝国庆 庆祝17BIG! 呵呵

原创 2007年09月26日 23:35:00

 文章作者:a11yesno
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

漏洞发现日期 05年某月

注:因为最近没怎么关注网络安全 凭记忆中貌似没人说过这个方法 所以放出来 不要拍砖我 thx!

原理很简单的啊 sam的 FV键值吧 重点如何躲过检测
一般的检测克隆帐号的都是检测 sam里面有没有相同的 FV吧 利用这个特性绕过检测吧 呵呵

步骤

1.net user allyesno freexploit /add&net localgroup administrators allyesno /add
2.clone allyesno->guest
3.delete allyesno sam FV (呵呵,这样就完成啦)

如此以来常规的检测工具就无法检测拉 嘎嘎。。

另外kaka提过一旦登录帐号就会生成文件的问题 这个可以在注册表里面修改用户生成文件路径 以及加其他工具辅助隐藏

测试环境当时为 xp sp2&2003 sp1不知道微软现在是否补了 不知道Vista是否可以使用

可以加我QQ讨论一下 138888318 验证:很好,很和谐

thx:当时在0x577 irc里帮忙测试的一些人 例如kaka luoluo等等(太久了其他人记不得了)
ps:叹,已经被边缘化了 T_T.....

 

一些补充:

删除注册表的相关信息和用net user xxx /delete 这样删除是不同的

我建立了用户allyesno 然后把 guest 克隆成allyesno
allyesno 和 guest都通过注册表 指向sam文件里面的用户信息
windows系统认证用户的启动方式 是 首先在注册表查询相关的 用户名称(sam里面) 然后在sam文件里面读取相应的信息启动

如果使用net user allyesno /delete 这样的命令 那么sam注册表 以及sam文件的用户信息都会被删除
而guest指向的 sam文件里面的allyesno用户信息被删除了 guest自然就不会成功登录了

相反 仅仅将注册表里面 allyesno的用户信息全部删除 但是sam文件里面仍然保留着allyesno的信息 所以guest是可以成功登录的

好长一段

说一个隐蔽克隆帐号的方法

原理很简单的啊 sam的 FV键值吧 重点如何躲过检测一般的检测克隆帐号的都是检测 sam里面有没有相同的 FV吧 利用这个特性绕过检测吧 呵呵步骤1.net user allyesno freexp...
  • inject2006
  • inject2006
  • 2007年10月07日 21:48
  • 364

一个隐蔽克隆帐号的方法

漏洞发现日期 05年某月注:因为最近没怎么关注网络安全 凭记忆中貌似没人说过这个方法 所以放出来 不要拍砖我 thx!原理很简单的啊 sam的 FV键值吧 重点如何躲过检测一般的检测克隆帐号的都是检测...
  • iiprogram
  • iiprogram
  • 2007年09月27日 21:33
  • 658

bzoj1024: [SCOI2009]生日快乐

题目链接bzoj1024题目描述Descriptionwindy的生日到了,为了庆祝生日,他的朋友们帮他买了一个边长分别为 X 和 Y 的矩形蛋糕。现在包括windy,一共有 N 个人来分这块大蛋糕,...
  • zmh964685331
  • zmh964685331
  • 2016年02月22日 19:20
  • 173

一个QQ隐蔽聊天的软件,用于你在办公室QQ聊天又不想让其他人知道

  这个程序是我以前还不是很忙的时候随便搞的一个。主要参考了Enumeration源代码,用于查找句柄。由于QQ里的RichEdit并不是一般的RichEdit,不可以直接发送消息给它,所以废了一些周...
  • flylonginsky
  • flylonginsky
  • 2005年04月25日 10:17
  • 4464

BZOJ 1024 [SCOI2009] 生日快乐 题解与分析

1024: [SCOI2009]生日快乐 Time Limit: 1 Sec  Memory Limit: 162 MB Submit: 852  Solved: 592 [Submit][Statu...
  • u011400953
  • u011400953
  • 2013年07月17日 14:31
  • 911

BZOJ 1024([SCOI2009]生日快乐-暴搜)

1024: [SCOI2009]生日快乐 Time Limit: 1 Sec  Memory Limit: 162 MB Submit: 830  Solved: 572 [Submit][St...
  • nike0good
  • nike0good
  • 2013年06月08日 17:09
  • 1247

他们说的 呵呵

86583111(babyfrog) 21:57:26RH是LINUXFREEBSD是FREEBSD完全两个东西 282729198(£飘渺の枫£) 22:04:24啊 惭愧啊 86583111(ba...
  • haihaiff
  • haihaiff
  • 2004年09月20日 22:06
  • 609

js中的几种克隆方法

js中的克隆 1.如果克隆对象是基本类型,直接复制就可以 script type="text/javascript"> var str1 = 'abc' var str2 = st...
  • Hero4399
  • Hero4399
  • 2017年10月20日 20:12
  • 280

bzoj 1024: [SCOI2009]生日快乐

1024: [SCOI2009]生日快乐 Time Limit: 1 Sec  Memory Limit: 162 MB Submit: 2779  Solved: 2031 [Submit][...
  • Jaihk662
  • Jaihk662
  • 2017年06月29日 02:20
  • 248

HDUOJ 水果

 /*水果 夏天来了~~好开心啊,呵呵,好多好多水果~~ Joe经营着一个不大的水果店.他认为生存之道就是经营最受顾客欢迎的水果. 现在他想要一份水果销售情况的明细表,这样Joe就可以很...
  • yueloveme
  • yueloveme
  • 2015年07月30日 10:55
  • 749
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:说一个隐蔽克隆帐号的方法 庆祝国庆 庆祝17BIG! 呵呵
举报原因:
原因补充:

(最多只允许输入30个字)