[ 应急响应基础篇 ] Windows系统隐藏账户详解(Windows留后门账号)

最新推荐文章于 2024-04-29 12:47:02 发布
最新推荐文章于 2024-04-29 12:47:02 发布
阅读量2.3k 收藏 26
点赞数 7
分类专栏: 应急响应入门到精通 文章标签: 应急响应基础篇 内网渗透篇 Windows系统隐藏账户 Windows留后门账号 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/129973356
版权

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、Windows系统添加隐藏用户介绍

系统隐藏账户是一种最为简单有效的权限维持方式,其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户,因为是隐藏账户,所以防守方是无法通过控制面板或命令行看到这个账户的。

二、Windows系统添加隐藏用户步骤

1、环境介绍

前提条件:
假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
环境:windows Server2012
IP:192.168.223.182

2、创建一个隐藏账号

net user powershell$ w123456! /add

添加powershell$隐藏用户

net localgroup administrators powershell$ /add

将powershell$用户添加进管理员组中

在这里插入图片描述

创建完成之后,输入net user 查看账户,发现我们创建的隐藏用户隐藏成功

net user

在这里插入图片描述

3、隐藏不彻底

虽然用net user 看不到,但是还有其他方式可以看到

1.管理账户查看

通过控制面板–>用户账户–>管理账户查看

在这里插入图片描述

2.管理工具查看

通过管理工具–>计算机管理–>本地用户和组–>用户也可以看到

在这里插入图片描述

3.注销登录页面查看

这里也可以看到创建的隐藏账户

在这里插入图片描述

4、修改注册表

为了更好的隐藏新建的账户,还需要进行修改注册表文件操作。

1.首先打开注册表编辑器

regedit

在这里插入图片描述

2.确保可以看到SAM路径下的文件

找到HKEY_LOCAL_MACHINE\SAM\SAM,点击右键,选择“权限”将Administrator用户的权限,设置成“完全控制”,

在这里插入图片描述

重新打开注册表,确保可以看到SAM路径下的文件

在这里插入图片描述

3.找到用户对应的表

其次前往SAM/Domains/Account/Users/Names处,选择Administrator用户,在右侧的键值处可以找到对应的值如0x1f4,然后从左侧的Users目录下可以找到对应的文件。

在这里插入图片描述

其次前往SAM/Domains/Account/Users/Names处,选择Administrator用户,在右侧的键值处可以找到对应的值如0x3ec,然后从左侧的Users目录下可以找到对应的文件。

在这里插入图片描述

4.替换F值

然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户powershell 所对应的文件,并将从 A d m i n i s t r a t o r 文件中复制出来的 F 值粘贴进 p o w e r s h e l l 所对应的文件,并将从Administrator文件中复制出来的F值粘贴进 powershell 所对应的文件,并将从Administrator文件中复制出来的F值粘贴进powershell文件中。

在这里插入图片描述

把之前复制的f值粘贴到0x3ec的f值中

在这里插入图片描述

5.导出需隐藏用户的表

最后将powershell$ 和000003EC从注册表中右键导出,并删除powershell 用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现 p o w e r s h e l l 用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现powershell 用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现powershell用户的隐藏。
导出powershell$表

在这里插入图片描述

导出000003EC表

在这里插入图片描述

导出来的表如下

在这里插入图片描述

6.删除需要隐藏的用户

net user powershell$ /del

在这里插入图片描述

此时注册表

在这里插入图片描述

7.导入需隐藏用户的表

导入000003EC表

在这里插入图片描述

导入powershell$表

在这里插入图片描述

此时注册表

在这里插入图片描述

8.隐藏状态

管理账户下看不到隐藏用户

在这里插入图片描述

计算机管理用户下看不到隐藏用户

在这里插入图片描述

注销登录页面查看任然可以看到创建的隐藏账户
在这里插入图片描述

5、登陆界面隐藏账户

在注册表中进行设置,使用户不在登录界面显示。
终端中输入: regedit 回车打开注册表编辑器。

regedit

在这里插入图片描述

依次定位到:进入注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
右键新建项SpecialAccounts

在这里插入图片描述

右键新建项UserList

在这里插入图片描述

右键新建项DWORD32值

在这里插入图片描述

名称为需要隐藏的账户,值为0
值为0表示隐藏,值为1表示显示

在这里插入图片描述

最终如下

在这里插入图片描述

6、用户被完全隐藏

登录界面也看不到了

在这里插入图片描述

7、用户正常登录

采用powershell$登录,成功登录

在这里插入图片描述

登陆进来用的是administrator的身份

在这里插入图片描述

三、应急响应发现隐藏账户

对比以下三张表数量及名称,发现powershell$隐藏用户

1、注册表中用户

查看注册表中HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 位置的用户名

在这里插入图片描述

2、管理账户中用户

控制面板–>用户账户–>管理账户

在这里插入图片描述

3、管理工具中用户

管理工具–>计算机管理–>本地用户和组–>用户

在这里插入图片描述

_PowerShell
关注
  • 7
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Windows账户隐藏
浅时光-Trister
02-12 2662
1、新建特殊账户 使用net user命令建立隐藏账户,并添加到管理员组。 2、赋予注册表权限 找到注册表 [HKEY_LOCAL_MACHINE\SAM|SAM],刚打开会发现什么也看不到,因为此时没有权限,右键选择权限,赋予完全控制的权限。然后刷新就可以看到其中的内容了。 3、导出注册表信息 找到新建的那个账户,将两个注册表信息先导出。 4、删除特殊账户 导出后,可以删除该账户。此时注册表已经看不到该账户的两个注册表信息。 5、导入注册表信息 删除账户后,再将注册表信息导入。 导入注册表后,
查看计算机上隐藏用户,教你如何隐藏windows系统账户
weixin_30716611的博客
06-15 5373
账户隐藏技术是最隐蔽的后门,一般用户很难发现系统隐藏账户的存在,因此危害性很大。在隐藏系统账户之前,介绍一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”,控制面板的“计算机管理”,“注册表”中对存在的账户进行查看,而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常,因此如何让系统账户在这两者中隐藏是重点。隐藏账户一、“命令提示符”的隐藏利用我们平时经常用到的“命令...
Windows隐藏账户处置(影子账户
weixin_51198941的博客
07-11 544
本次实验环境来源:深信服产业教育云平台仅供学习交流使用,请勿用于非法用途,违者一律自行承担所有风险。
Windows取证】隐藏用户
南京信息工程大学数字取证中心的博客
12-06 5674
了解Windows隐藏账户的工作原理,有针对性地对隐藏账户进行应急处置。
应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析_怎么发现windows账户被克隆(1)
最新发布
2401_84254418的博客
04-29 1087
【控制面板】-【用户账户】-【用户账户】-【管理用户账户】中,可以看到系统中有哪些用户。net user administrator,可以查看用户的信息,比如上次登录时间。query user,可以查看当前登录的用户。
查看计算机上隐藏用户,Win10创意者怎么查看系统隐藏账户
weixin_39986171的博客
06-15 1241
Win10创意者怎么查看系统隐藏账户?来看看系统怎么查看系统隐藏账户1、在Win8.1开始屏幕或传统桌面中,使用“Windows+R”快捷键,打开Win8系统运行对话框,输入“gpedit.msc”命令并回车,弹出系统组策略编辑对话框,将鼠标定位到“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”节点上,双击目标节点下的“审核策略更改”组策略。2、在弹出的编辑对话框中...
玩转Windows系统账户隐藏
xcntime的专栏
12-02 558
<br />原创文章如转载,请注明:转载自冠威博客 [ http://www.guanwei.org/ ] <br />本文链接地址:http://www.guanwei.org/post/platformsecurity/11/windows-hide-user.html<br />当黑客入侵一台主机后,会想方设法保护自己的“劳动成果”,因此会在肉鸡上下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术。在肉鸡上建立一个隐藏账户,以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门,一般用户很难
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 包含如下工具 windows日志分析工具 包含如下文档 Windows 日志记录配置.docx [应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx...Windows后门账号.docx
windows+linux下的应急响应
06-11
将深入探讨Windows和Linux系统在遭受攻击时的应急处理策略,以及如何通过痕迹分析来追踪黑客并修复系统漏洞。 首先,我们要理解应急响应的基本流程。无论是Windows还是Linux系统,一旦发现异常行为或遭受攻击,...
Windows系统下安装Node.js的步骤图文详解
01-20
前言 随着近日Paypal和Netflix宣告 迁移到Node.js, 服务器端Javascript平台已经证明其自身在企业领域的价值.... 在这文章中,我会向你展示在Window环境下安装Node.js到底有多容易. 1. 访问 Node.js 的
Windows Server 2008 R2 系统管理(理论+实战)
06-09
对于企业网络中的基本核心架构的组成,精选了网络环境的管理、用户管理、共享文件系统的调试和管理,以及DHCP、DNS、Active Directory这几个常用的基础服务,并且对于全新出现的Server Core主机的部署与管理进行了...
windows 隐藏账户建立方法
08-05
windows上建立隐藏账户   其实,制作系统隐藏账户并不是十分高深的技术,利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。   点击“开始”→“运行”,输入“CMD”运行“命令提示符”,输入“net user piao$ 123456 /add”,回车,成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车,这样我们就利用“命令提示符”成功得建立了一个用户名为“piao$”,密码为“123456”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。
CISP-Windows系统安全完美版资料.ppt
11-13
《CISP-Windows系统安全完美版资料》是一份深入探讨Windows系统安全的资料,主要涵盖了安全度量标准、系统安全隐患、黑客攻击技术以及Windows系统的安全原理和配置等方面。该资料旨在帮助读者理解并应对日益严重的...
查看计算机上隐藏用户,Win7系统隐藏账户查看与删除方法图文教程
weixin_31755479的博客
06-15 5378
由于每个用户对电脑系统账户设置需求不同,不妨用户会给自己系统下创建隐藏账户与登录密码,虽然隐藏账户不易被别人查看,但隐藏账户系统也有一定危害,有时候需要对无用的隐藏账户进行删除,那么在笔记本win7系统下该如何查看隐藏账户与删除呢?一起来看看小编整理的详细教程。笔记本win7系统隐藏账户查看与删除方法/步骤:1、先看一下,原有的账户中是如何显示的?使用鼠标右键点击计算机→管理2、计算机管理→本地...
Windows隐藏账户
CC210231的博客
04-10 4125
黑客在进行渗透测试的时候,如果进入了目标系统,往往会在系统上创建一个高权限的账户,作为后门,方便以后进入系统,此时就需要对创建的账户进行隐藏,避免被系统管理员发现 1.先介绍一下在Windows系统中一般创建隐藏账户的方法: 使用cmd命令: net user username$ /add 并使用net localgroup命令将创建的隐藏账户加入管理员组 使用net user 命令查看不到刚刚创建的隐藏账户 但是在“计算机管理”中的“本地用户和组”中是可以查看到的,非常容.
应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析
Karka_的博客
09-06 613
攻击者通常会在服务器中创建用户进行维权,查看是否有新增的可疑账号,核实后禁用或删除。
Windows Server 创建隐藏账户
qq_61861243的博客
10-05 2246
Windows Server 创建隐藏账户
windows创建隐藏用户及后门
diaobusi的博客
06-20 2301
Windows操作系统中,用户系统是用于管理和控制用户访问、权限和资源的一组功能和机制。以下是Windows用户系统的一些关键概念和组成部分:用户账户Windows用户系统基于用户账户来管理用户访问和权限。每个用户都必须拥有一个唯一的用户账户,用户账户包含了用户的登录名和密码等信息。用户账户可以是本地账户(仅限于本地计算机)或域账户(属于域控制器管理的网络域)。
查看计算机上隐藏用户,可以隐藏特定用户吗?Win10隐藏管理员账户的方法
weixin_36048838的博客
06-15 1210
可以隐藏特定用户吗?当用户的计算机需要多人使用的时候必然会有各种各样的不方便,只要有那么一点小秘密,就有必要将Win10账户隐藏起来,可是如此操作需要多复杂的操作过程呢?具体过程请看下文。虽然 Win10 并未提供哪些用户出现在登录界面的控制选项,但我们还是可以通过修改注册表的方式对特定用户进行隐藏。Win10隐藏管理员账户的方法Win10 默认在登录界面上会显示所有账户的全名,要将账号隐藏必需找...
为什么农产电商系统适合用windows系统开发
05-24
农产电商系统是否适合使用Windows系统开发取决于具体的开发需求和技术栈选择。Windows系统可以支持多种开发语言,如C#、VB.NET、ASP.NET等,同时也有丰富的开发工具和框架支持,如Visual Studio和.NET Framework等。如果开发团队熟悉Windows系统的开发技术和工具,那么使用Windows系统开发农产电商系统可能会更加高效和便捷。 另外,需要考虑的因素还包括系统的可扩展性、安全性、性能等方面。无论使用哪种操作系统,都需要结合具体的业务需求和技术架构来决定开发方式和工具选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值