介绍
1、在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。
2、在服务器被入侵后,攻击者可能会建立相关账户(有时是隐藏或克隆账户),方便进行远程控制。攻击者会采用的方法主要有如下几种:
第1种是最明目张胆的,即直接建立一个新的账户(有时是为了混淆视听,账户名称与系统常用名称相似);第2种是激活一个系统中的默认账户,但这个账户是不经常使用的;第3种是建立一个隐藏账户(在Windows系统中,一般在账户名称最后加$)。无论攻击者采用哪种方法,都会在获取账户后,使用工具或是利用相关漏洞将这个账户提升到管理员权限,然后通过这个账户控制任意计算机。
3、由于很多计算机都会自动加载“任务计划”,“任务计划”也是恶意病毒实现持久化驻留的一种常用手段,因此在应急响应事件排查时需要重点排查。
步骤
1、在cmd中输入systeminfo查看系统信息,可以看到系统安装了一个修补程序和OS名称
2、在cmd中输入msinfo32打开系统信息,点击 软件环境 > 环境变量
3、打开计算机管理的本地用户和组可以查看隐藏账户信息
4、运行输入regedit打开注册表,SAM》SAM》domains》Account》users》names对比SAM中的对应隐藏账号的F值
选择对应的users,然后导出注册文件
直接打开,然后也是一样的,导出administrator和metasploit的注册文件
切记不要双击,右击选择打开方式里面选择记事本
5、可以看到test$用户的F值和Administrator的F值相同,是克隆了管理员账号
6、依次打开计算机管理 >计划任务程序,存在flag值
7、打开Powershell输入Get-ScheduledTask,定位到User Profile Service是Disabled
总结
用户配置服务(User Profile Service) 是一种用于存储用户配置信息并为应用程序提供访问权限的服务。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
