Windows留后门--教程（一）——Windows系统隐藏账户

一、Windows系统隐藏账户介绍

系统隐藏账户是一种最为简单有效的权限维持方式，其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户，因为是隐藏账户，所以防守方是无法通过控制面板或命令行看到这个账户的。

二、Windows系统添加隐藏账户-教程

前提条件: 假设在攻击的过程中通过利用各种getshell，已经拿到目标服务器administrator权限
环境： windows Server2012 IP： 192.168.226.128

2.1 第一种情况：攻击者控制某台机器，并执行添加用户指令

net user wxiaoge$ w123456! /add                  #添加hacker$隐藏用户
net localgroup administrators wxiaoge$ /add    #将hacker$用户添加进管理员组中

注意一：
此时虽然使用命令行无法看到 wxiaoge$ 隐藏用户，但是采用其它方法仍旧可以发现wxiaoge$ 隐藏用户，为了更好的隐藏新建的账户，还需要进行修改注册表文件操作。

注意二：
1、打开windws server 2012的远程桌面功能
2、需将新创建的隐藏账户 wxiaoge$ 添加在允许远程桌面用户的位置，默认只允许 Administrator，不然隐藏账户 wxiaoge$ 无法登录
3、远程登录隐藏账户 wxiaoge$ 时，账户名是wxiaoge$ 密码是w123456!

查看wxiaoge$ 隐藏用户方法一：
通过 控制面板（控制面板-》用户账户-》管理账户）依然还是可以看到 wxiaoge$ 账户存在的。

查看wxiaoge$ 隐藏用户方法二：
通过管理工具-》计算机管理-》本地用户和组-》用户 依然还是可以看到 wxiaoge$ 账户存在的。

2.2 第二种情况：修改注册表文件

首先打开注册表编辑器，找到HKEY_LOCAL_MACHINE\SAM\SAM，点击右键，选择“权限”，将Administrator用户的权限，设置成“完全控制”，然后重新打开注册表，确保可以看到SAM路径下的文件。

2.2.1 输入命令：regedt32 打开注册表

2.2.2 找到HKEY_LOCAL_MACHINE\SAM\SAM，点击右键，选择“权限”

2.2.3 将Administrator用户的权限，设置成“完全控制”，

2.2.4 重新打开注册表，确保可以看到SAM路径下的文件

2.2.5 其次前往SAM/Domains/Account/Users/Names处，选择Administrator用户，在右侧的键值处可以找到对应的值如0x1f4，然后从左侧的Users目录下可以找到对应的文件。

2.2.6 然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户wxiaoge$所对应的文件，并将从Administrator文件中复制出来的F值粘贴进 wxiaoge $文件中。

2.2.7 最后将wxiaoge $ 和000003EB从注册表中右键导出，并删除wxiaoge$用户，然后将刚刚导出的两个文件重新导入进注册表中即可实现wxiaoge用户的隐藏。

导出

删除 wxiaoge$ 账户

点击刚刚导出保存的 wxiaoge和3EB，点击之后会自动导入注册表，下图是导入成功的

此时 wxiaoge 隐藏账户在 “控制面板（控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"均未发现，成功隐藏

三、添加Windows系统隐藏账户——应急响应发现

查看注册表，在注册表中 HKEY_LOCAL_MACHINE\SA\SAM\Domains\Account\Users\Names 位置可以看到所有的用户名，将这些用户名与 “控制面板（控制面板-》用户账户-》管理账户”、"管理工具-》计算机管理-》本地用户和组-》用户"进行对比，不存在的账户就是隐藏账户

成功发现隐藏账户 wxiaoge

处置方式： 将注册表中的 wxioage$ 账户以及其对应的 000003EB 删除即可删除该后门账户

更多资源：

1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程

收集整理在知识星球，可加入知识星球进行查看。也可搜索关注微信公众号：W小哥