【Try to Hack】Windows系统账户安全

原创 已于 2022-06-30 17:29:59 修改 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #安全

于 2022-06-30 16:29:41 首次发布
本文教你如何在Windows系统中创建、隐藏和保护隐藏用户账户,包括使用命令行工具如`netuser`,注册表调整,以及利用D盾检查安全。通过LogParser分析日志,确保账号安全并检测异常登录。

📒博客主页:开心星人的博客主页
🔥系列专栏:Try to Hack
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年6月30日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

请勿违法犯罪!!!本文全部内容,均来自互联网,仅作为自己学习的记录。

1、低于Windows10,使用命令lusrmgr.msc
查看是否有新增/可疑的账号

2、高于Windows10,控制面板->用户账户
在这里插入图片描述

3、
net user
在这里插入图片描述

但是不能查看到隐藏账号

net user 具体的某一个用户
在这里插入图片描述

尤其要注意Guest用户是否启用,因为黑客可能不添加新的用户而是启用Guest用户
在这里插入图片描述
net user hacker$ 111111 /add
用户名以$结尾为隐藏用户,111111位用户密码。上述命令为添加一个隐藏用户
在这里插入图片描述
可以看到被拦截了,直接允许操作即可

net localgroup administrators hacker$ /add
将隐藏用户加入管理员组,隐藏用户具有管理员权限了

在这里插入图片描述

在控制面板中可以看到我们的隐藏用户

4、有没有方法能"命令提示符"和"计算机管理"中同时隐藏账户
有,通过注册表
运行->regedit
在这里插入图片描述

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Name
在这里插入图片描述
可以看到我们的隐藏用户
在这里插入图片描述
administrator账户所对应的项为"000001F4"

我们将hacker$导出为hacker.reg。同时将"000003F3"和"000001F4"项的F键值分别导出为user.reg,admin.reg
在这里插入图片描述
用"记事本"打开admin.reg,将其中"F"值后面的内容复制下来,替换user.reg中的"F"值内容,完成后保存。

net user hacker$ /del
删除隐藏用户

将hacker.reg和user.reg导入注册表,隐藏用户制作完成了
在这里插入图片描述

我们还是可以正常使用hacker$这个隐藏用户
在这里插入图片描述

但是这个时候,管理员还是可以通过注册表删除我们的隐藏用户,该怎么隐藏?

来到"HKEY_LOCAL_MACHINE\SAM\SAM"处,设置"SAM"项的权限,将"administrators"所拥有的权限全部取消即可。
在这里插入图片描述
在这里插入图片描述
这样管理员就删不掉了

5、D盾
使用D盾来检查系统账号安全
在这里插入图片描述
还是非常有效的,立刻告警了

但是发现也删不掉。

具体怎么删除,有待研究

6、结合日志分析
查看管理员登录时间、用户名是否存在异常
运行->eventvwr.msc
在这里插入图片描述
Log Parser
下载地址:https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659
默认下载到C:\Program Files (x86)\Log Parser 2.2

1、查询登录成功的事件
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where EventID=4624"

指定登录时间范围的事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登录成功的用户名和IP:
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:Security.evtx where EventID=4624"

2、查询登录失败的事件
登录失败的所有事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where EventID=4625"

提取登录失败用户名进行聚合统计:
LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:Security.evtx where EventID=4625 GROUP BY Message"

3、系统历史开关机记录:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT TimeGenerated,EventID,Message FROM c:System.evtx where EventID=6005 or EventID=6006"

.\LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM E:\onedrive\桌面\11.evtx where EventID=4624"
在这里插入图片描述

红队内网攻防渗透:内网渗透之Windows内网信息收集:内网和域
HACKONE的博客
04-10 873
Telnet协议是tcp/ip协议的一员是Internet远程登陆服务的标准协议和主要方式,快速探测某台主机是否存在某个高危漏洞端口可以使用这个在内网中通常会部署大量的网络安全设备例如IDSIPS日志审计安全网关反病毒等在域网络攻击测试中获取域内一个支点后需要获得域管理员权限在一个域中,当计算机加入域后会默认给域管理员组赋予本地系统管理员权限也就是说当计算机被添加到域中成为域主机系统就会自动将域管理员组添加到本地系统管理员组中因此域管理组的成员均可以访问本地计算机且具备完全的控制权。
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
热门推荐
杨秀璋的专栏
05-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这篇文章将介绍WHUCTF部分题目,第一次参加CTF,还是能学到很多东西。下面分享四个我完成的WEB类型题目的解题过程,希望对您有所帮助。本来感觉能做出6道题目,但有两道题卡在某个点,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬
Windows账户安全设置
xnxqwzy的博客
04-29 1720
用户账户控制(UAC)最初名为User Account Protect,是微软为提高系统安全而在WindowsVista中引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止或提示标准用户进行不当的系统设置改变。在Windows7中,微软对UAC功能进行了大量改进,在确保安全性的同时,让UAC的提升提示出现的数量更少,而且我们可以根据需要使用不同级别的提示,因此,在确保安全的同时,也进一步提升了易用性。
Windows用户安全小技巧
weixin_33950035的博客
04-09 187
本文适用于具有管理员用户和标准用户的所有Windows系统,如Windows 2000以上的操作系统,UAC是Windows Vista以上版本的具有功能。新安装的Windows系统或者新购买的含有Windows系统计算机一开始都需要安装许多软件并需要设置较多的含有Windows安全或用户控制设置的功能或操作。此时如果利用管理员账户做这些事情是非常方便的。Windows不像Linux一样,在Win...
网络安全技术入门-windows账户安全
yuluo的博客
12-13 406
windows服务器的事件管理器中”将所有事件另存为“。另存到桌面,使用LogParse分析日志。查看日志时,需要首先导出windows服务器的安全事件日志。指定登录时间范围的事件。
Windows 用户、认证和对象安全
ykizz的博客
10-19 1548
一、概述  Windows系统具有很完善的安全和认证机制,称做访问控制机制。程序的执行主体(线程)在访问对象(文件,事件)时,系统会根据线程的“权限”和线程需要访问的对象所具有的“安全描述符”中的访问控制列表是否匹配来进行认证,决定一个线程是否可以操作一个对象。二、定义  关于权限、访问控制列表、安全描述符等在安全认证中所依赖的数据结构、并重点讲解安全认证的过程   A需要访问(Access)B,
如何在Windows中为用户阻止(或允许)某些应用程序
culintai3473的博客
09-02 3471
If you’d like to limit what apps a usercan run on a PC, Windows gives you two options. You can block the apps you don’t want a user to run, or you can restrict themto running only specific apps. Her...
TryHackMe | Blue Writeup (超干货详细msf渗透使用指南)
qq_25755011的博客
02-04 7439
因为给师弟师妹布置了这个任务作为假期渗透作业,是个对ms17_010漏洞利用的学习,而且网上中文的writeup很少(好像直接没有),所以写一篇Writeup记录一下。刚好也是一个相对完整的msf使用介绍,如有错误的地方欢迎各位师傅讨论指出 tryhackme是个很好的外网网络攻防学习平台,不用VPN也可以正常使用只是稍微有点卡,各位师傅有兴趣也可以去玩一玩。这里把这题的题目链接放给大家 TryHackMe | Blue 前期准备 kali Linux (仅用到msf框架与nmap) openvpn与.
15、XSS攻击的多种场景与风险分析
最新发布
star5的专栏
08-08 51
本文详细分析了XSS(跨站脚本攻击)在多个场景中的应用与风险,包括Windows Mobile PIE浏览器的漏洞利用、Firefox扩展GreaseMonkey的安全隐患、SnoopStick监控工具的反利用以及TinyURL短链服务的持久XSS攻击。通过具体示例展示了攻击的实现方式与危害,并从用户和开发者层面提出了防范建议。文章最后展望了未来攻击技术的发展趋势及安全防护的应对策略,强调了行业合作与技术创新在网络安全中的重要性。
入侵检查-检查Windows系统账号安全克隆账号步骤
qq_34780861的博客
02-03 955
然后可以尝试用隐藏账户登录,可以发现和管理员的桌面完全一致(个别情况,桌面背景无法加载)注册表中找到管理员的键值,复制到i15pb$中。可以使用D盾工具,发现克隆账户
基线管理之Windows主机安全配置
ADDPPC的博客
12-14 1381
一、登录服务器,打开组策略 开始–运行 输入gpedit.msc,点回车 二、账户策略配置 1、密码策略 依次如图展开,密码策略,如图进行配置 2、账户锁定策略 配置账户锁定阈值 三、配置安全选项 1、账户配置 如图 重命名管理员账号为test1234(配置完后,可以尝试注销,看看administrator是否能登录) 禁止使用Microsoft账户登录 2、交互式登录配置 如图,配置 3、用户账户控制 如图,配置以下四项 四、高级安
溯源(二)之 windows-还原攻击路径
A_991128a的博客
04-10 2007
我们可以通过这些敏感id去排查攻击者的一些操作,攻击者通过一些web漏洞,控制了我们的主机,那他会不会进行一些远程登录,或者是创建一些用户,留下一些后门,这些我们都可以通过Windows安全日志去查看,我们在护网中,如果去溯源出了攻击者留下的账号或者后门,那这也是溯源的一部分,同时也是加分项,在日常的应急响应中,也需要我们去排查,排查攻击者对服务器做的一些权限维持等操作,我们需要去排查并清理这些出权限维持。这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。
windows入侵排查项
qq_51780583的博客
11-20 1344
windows入侵排查项梳理
Windows下创建隐藏账户、影子账户
m0_46607055的博客
01-25 5833
方法一: 用户名后面加$符号 net user test$ password /add net localgroup administrators test$ /add 此时使用命令net user 查看不到此用户,但使用 wmic命令可以 wmic useraccount get Name 此外,在控制面板也能看到此用户 可直接用命令删除 net user test$ /del 对于此方法,微软官方的回答是 方法二:修改注册表 前提是...
Windows入侵排查秘籍:锁死安全漏洞
超哥的博客
08-07 1049
Windows入侵排查秘籍:锁死安全漏洞1 检查系统账号安全1.1 查看服务器是否有弱口令,远程管理端口是否对公网开放1.2 查看服务器是否存在可疑账号、新增账号 1.3 结合日志,查看管理员登录时间
IT:windows登陆密码忘了?怎么办
xyzroundo的专栏
06-23 3272
忘记Windows密码别慌张!针对Microsoft账户可直接在线重置,通过验证邮箱/手机号获取新密码。本地账户可通过预设安全问题或命令提示符修改密码(需进入恢复环境)。若无准备,可使用第三方启动盘工具重置密码。建议提前创建密码重置盘或绑定安全信息以防万一。关键点:优先尝试在线重置和安全问题,其次考虑命令行或工具盘,操作前注意备份数据。
Windows权限维持方法
weixin_43722879的博客
08-15 758
Windows权限维持方法
Windows-安全加固安全基线(非常详细)零基础入门到精通,收藏这一篇就够了
小司机的奥拓
05-22 2814
安全基线/安全加固第二期,本期以Windows系统为例,主要以2012及2016的版本为主,2012以前的版本由于安全问题,日常使用率较少,所以这里并未进行编写。此外,加固前请对系统业务运行的服务、端口等信息进行摸查及评估,并在测试机先行测试,。《Redis-安全加固/安全基线》《MongoDB-安全加固/安全基线》《Oracle-安全加固/安全基线》《MySQL-安全加固/安全基线》《Sql-Server-安全加固/安全基线》《IIS-安全加固/安全基线》
JavaWeb银行账户管理系统源码及数据库结构解析
通过上述的知识点解析,可以看出,一个Java Web银行账户管理系统不仅仅是前端页面与后端逻辑的简单堆砌,它还涉及到数据安全系统架构、异常处理等复杂的技术挑战。这些知识对于初学者来说是一个全面的学习过程,有...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

开心星人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值