【Try to Hack】Windows系统账户安全

已于 2022-06-30 17:29:59 修改
阅读量1.2k 收藏
点赞数 1
文章标签: windows 安全
于 2022-06-30 16:29:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55675216/article/details/125171539
版权

📒博客主页:开心星人的博客主页
🔥系列专栏:Try to Hack
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年6月30日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

请勿违法犯罪!!!本文全部内容,均来自互联网,仅作为自己学习的记录。

1、低于Windows10,使用命令lusrmgr.msc
查看是否有新增/可疑的账号

2、高于Windows10,控制面板->用户账户
在这里插入图片描述

3、
net user
在这里插入图片描述

但是不能查看到隐藏账号

net user 具体的某一个用户
在这里插入图片描述

尤其要注意Guest用户是否启用,因为黑客可能不添加新的用户而是启用Guest用户
在这里插入图片描述
net user hacker$ 111111 /add
用户名以$结尾为隐藏用户,111111位用户密码。上述命令为添加一个隐藏用户
在这里插入图片描述
可以看到被拦截了,直接允许操作即可

net localgroup administrators hacker$ /add
将隐藏用户加入管理员组,隐藏用户具有管理员权限了

在这里插入图片描述

在控制面板中可以看到我们的隐藏用户

4、有没有方法能"命令提示符"和"计算机管理"中同时隐藏账户
有,通过注册表
运行->regedit
在这里插入图片描述

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Name
在这里插入图片描述
可以看到我们的隐藏用户
在这里插入图片描述
administrator账户所对应的项为"000001F4"

我们将hacker$导出为hacker.reg。同时将"000003F3"和"000001F4"项的F键值分别导出为user.reg,admin.reg
在这里插入图片描述
用"记事本"打开admin.reg,将其中"F"值后面的内容复制下来,替换user.reg中的"F"值内容,完成后保存。

net user hacker$ /del
删除隐藏用户

将hacker.reg和user.reg导入注册表,隐藏用户制作完成了
在这里插入图片描述

我们还是可以正常使用hacker$这个隐藏用户
在这里插入图片描述

但是这个时候,管理员还是可以通过注册表删除我们的隐藏用户,该怎么隐藏?

来到"HKEY_LOCAL_MACHINE\SAM\SAM"处,设置"SAM"项的权限,将"administrators"所拥有的权限全部取消即可。
在这里插入图片描述
在这里插入图片描述
这样管理员就删不掉了

5、D盾
使用D盾来检查系统账号安全
在这里插入图片描述
还是非常有效的,立刻告警了

但是发现也删不掉。

具体怎么删除,有待研究

6、结合日志分析
查看管理员登录时间、用户名是否存在异常
运行->eventvwr.msc
在这里插入图片描述
Log Parser
下载地址:https://www.microsoft.com/en-us/download/confirmation.aspx?id=24659
默认下载到C:\Program Files (x86)\Log Parser 2.2

1、查询登录成功的事件
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where EventID=4624"

指定登录时间范围的事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"

提取登录成功的用户名和IP:
LogParser.exe -i:EVT  –o:DATAGRID  "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:Security.evtx where EventID=4624"

2、查询登录失败的事件
登录失败的所有事件:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT *  FROM c:Security.evtx where EventID=4625"

提取登录失败用户名进行聚合统计:
LogParser.exe  -i:EVT "SELECT  EXTRACT_TOKEN(Message,13,' ')  as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:Security.evtx where EventID=4625 GROUP BY Message"

3、系统历史开关机记录:
LogParser.exe -i:EVT –o:DATAGRID  "SELECT TimeGenerated,EventID,Message FROM c:System.evtx where EventID=6005 or EventID=6006"

.\LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM E:\onedrive\桌面\11.evtx where EventID=4624"
在这里插入图片描述

开心星人
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Windows入侵排查思路手段
Lelouch_E的博客
11-04 1157
第1篇:window入侵排查 0x00 前言 ​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些W
Windows下创建隐藏账户、影子账户
m0_46607055的博客
01-25 3757
方法一: 用户名后面加$符号 net user test$ password /add net localgroup administrators test$ /add 此时使用命令net user 查看不到此用户,但使用 wmic命令可以 wmic useraccount get Name 此外,在控制面板也能看到此用户 可直接用命令删除 net user test$ /del 对于此方法,微软官方的回答是 方法二:修改注册表 前提是...
入侵检查-检查Windows系统账号安全克隆账号步骤
qq_34780861的博客
02-03 634
然后可以尝试用隐藏账户登录,可以发现和管理员的桌面完全一致(个别情况,桌面背景无法加载)注册表中找到管理员的键值,复制到i15pb$中。可以使用D盾工具,发现克隆账户
Windows权限维持方法
weixin_43722879的博客
08-15 519
Windows权限维持方法
Windows账户安全设置
最新发布
xnxqwzy的博客
04-29 974
用户账户控制(UAC)最初名为User Account Protect,是微软为提高系统安全而在WindowsVista中引入的新技术,它要求所有用户在标准账号模式下运行程序和任务,阻止未认证的程序安装,并阻止或提示标准用户进行不当的系统设置改变。在Windows7中,微软对UAC功能进行了大量改进,在确保安全性的同时,让UAC的提升提示出现的数量更少,而且我们可以根据需要使用不同级别的提示,因此,在确保安全的同时,也进一步提升了易用性。
渗透技巧——Windows系统的帐户隐藏
weixin_30444105的博客
11-28 139
渗透技巧——Windows系统的帐户隐藏 2017-11-28-00:08:55 0x01 帐户隐藏的方法 该方法在网上已有相关资料,本节只做简单复现 测试系统:·Win7 x86/WinXP 1、对注册表赋予权限 默认注册表HKEY_LOCAL_MACHINE\SAM\SAM\只有system权限才能修改 现在需要为其添加管理员权限 右键-权限-选中Administr...
Windows系统编程奥秘.zip
06-19
8. **安全编程**:在Windows系统编程中,安全是必须考虑的重要因素。这涉及到权限控制、缓冲区溢出防护、代码签名以及防止恶意攻击。 9. **调试技术**:使用调试工具如WinDbg进行系统级调试,定位和修复错误是系统...
javaWeb银行账户管理系统源码
03-19
6. **安全性**:在银行账户管理系统中,安全是非常重要的。这可能涉及到密码加密存储、防止SQL注入、XSS攻击防护以及授权和认证机制。 7. **Session管理**:为了跟踪用户的登录状态,系统会使用HTTP Session。理解...
C#实现操作windows系统服务(service)的方法
09-03
在C#编程中,操作Windows系统服务是常见的任务,这些服务可以用来自动化后台任务、管理系统资源或提供系统级的功能。本篇文章将详细讲解如何使用C#来实现对Windows系统服务的控制,包括启动和停止服务的功能。 首先...
信息安全_数据安全_You « try » to detect mimikatz.pdf
08-23
Mimikatz是一款开源的Windows操作系统安全工具,由法国安全研究员Vincent LE TOUX开发。它主要用于进行权限提升、凭证抓取和模拟攻击,广泛用于渗透测试和安全研究。在描述中提到的信息安全研究和大数据网络安全的...
try-hack-me:TryHackMe.com实验室
04-04
在"try-hack-me-main"这个压缩包中,很可能是包含了TryHackMe某个实验室的主要文件和资源。这可能包括虚拟机映像、练习文档、解决方案指南、提示和挑战,以及可能的脚本或代码示例。用户在解压后,可以通过导入这些...
windows 创建隐藏管理员权限账户
weixin_30825199的博客
11-17 533
创建以$后结尾的账户 在net user 命令下能隐藏起来 但是在用户管理的还是看得到 现在 是要在 用户管理也要 隐藏 首先进入注册表 设置 好权限 再重新打开 可以看到 所有得用户以及对应的注册表 打开 管理员 对应的注册表 赋值 F 字段里的值 然后 复制到 创建的用户 的 F 字段里 (F字段的值代表权限) ...
网络安全技术入门-windows账户安全
yuluo的博客
12-13 288
windows服务器的事件管理器中”将所有事件另存为“。另存到桌面,使用LogParse分析日志。查看日志时,需要首先导出windows服务器的安全事件日志。指定登录时间范围的事件。
Windows系统安全
qq_43665434的博客
05-26 3143
Windows系统安全 一、课程目标 理解Windows账户的基本概念、账户风险与安全策略、访问控制、安全审计、文件系统安全机制和安全策略。 Windows系统安全配置方法。 二、系统安全配置及用户账户管理 1、账户的基本概念 Windows安全主体 账户:在操作系统中,账户是操作系统进行权限管理的基本单元 用户组:用户组是由多个用户组成的一个群体,这个群体对某个资源拥有相同的权限。 用户账户 本地用户 域用户 在windows系统中,用户可以分为本地用户和域用户。而本地用户与
Windows系统安全综述
坚持是一种品质
07-02 2578
Windows系统安全综述 Windows系统安全综述 账户分类及概述 用户账户 在服务器管理器中管理用户 通过进程与服务区分各内置用户账户的作用 组账户 在服务器管理其中管理组 需要人为添加成员的内置组 动态包含成员的内置组 克隆账户以及账户超级隐藏 NTFS文件系统及权限应用 EFS加密 服务 病毒及防范 计算机病毒 定义 特点 分类 脚本病毒 特点 计算机木马 定义 ...
安全基线、本地安全策略、账户安全----Windows应用安全
weixin_45059947的博客
08-14 2487
安全基线在银行、证券、运营商、互联网行业等信息安全领域的应用范围非常广泛。本地安全策略:指的是为保护本计算机资源而配置的规则。配置以安全日志的方式记录安全相关事件。操作系统,数据库,网络设备。开始-管理工具-本地安全策略。...
Windows 用户、认证和对象安全
ykizz的博客
10-19 1210
一、概述  Windows系统具有很完善的安全和认证机制,称做访问控制机制。程序的执行主体(线程)在访问对象(文件,事件)时,系统会根据线程的“权限”和线程需要访问的对象所具有的“安全描述符”中的访问控制列表是否匹配来进行认证,决定一个线程是否可以操作一个对象。二、定义  关于权限、访问控制列表、安全描述符等在安全认证中所依赖的数据结构、并重点讲解安全认证的过程   A需要访问(Access)B,
Windows用户安全小技巧
weixin_33950035的博客
04-09 121
本文适用于具有管理员用户和标准用户的所有Windows系统,如Windows 2000以上的操作系统,UAC是Windows Vista以上版本的具有功能。新安装的Windows系统或者新购买的含有Windows系统计算机一开始都需要安装许多软件并需要设置较多的含有Windows安全或用户控制设置的功能或操作。此时如果利用管理员账户做这些事情是非常方便的。Windows不像Linux一样,在Win...
Windows安全中心输入用户名密码
热门推荐
smilife_的博客
04-09 6万+
解决办法 右击任务栏的“网络”图标,打开“打开网络和共享中心”; 点击“更改适配器设置”; 选择上网的网络连接,比如“以太网”和“无线连接”; 右键点击“以太网”选择属性; 单击“身份验证”标签,取消勾选“启用Ieee 802.1x 身份验证”选项,并确定保存。 ...
python代码实现Windows系统安全软件需要输入密码
08-03
### 回答1: 你可以使用 Python 的 pywin32 库来实现这个目的。...要实现Windows系统上的安全软件,需要更多的代码逻辑和功能,例如加密/解密、防火墙、扫描恶意软件等。本文只提供了一个用户输入密码的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

开心星人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值