[ 应急响应基础篇 ] Windows系统隐藏账户详解(Windows留后门账号)

Posted _PowerShell

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了[ 应急响应基础篇 ] Windows系统隐藏账户详解(Windows留后门账号)相关的知识,希望对你有一定的参考价值。

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、Windows系统添加隐藏用户介绍

系统隐藏账户是一种最为简单有效的权限维持方式,其做法就是让攻击者创建一个新的具有管理员权限的隐藏账户,因为是隐藏账户,所以防守方是无法通过控制面板或命令行看到这个账户的。

二、Windows系统添加隐藏用户步骤

1、环境介绍

前提条件:
假设在攻击的过程中通过利用各种getshell,已经拿到目标服务器administrator权限
环境:windows Server2012
IP:192.168.223.182

2、创建一个隐藏账号

net user powershell$ w123456! /add 

添加powershell$隐藏用户

net localgroup administrators powershell$ /add 

将powershell$用户添加进管理员组中

创建完成之后,输入net user 查看账户,发现我们创建的隐藏用户隐藏成功

net user 

3、隐藏不彻底

虽然用net user 看不到,但是还有其他方式可以看到

1.管理账户查看

通过控制面板–>用户账户–>管理账户查看

2.管理工具查看

通过管理工具–>计算机管理–>本地用户和组–>用户也可以看到

3.注销登录页面查看

这里也可以看到创建的隐藏账户

4、修改注册表

为了更好的隐藏新建的账户,还需要进行修改注册表文件操作。

1.首先打开注册表编辑器

regedit

2.确保可以看到SAM路径下的文件

找到HKEY_LOCAL_MACHINE\\SAM\\SAM,点击右键,选择“权限”将Administrator用户的权限,设置成“完全控制”,

重新打开注册表,确保可以看到SAM路径下的文件

3.找到用户对应的表

其次前往SAM/Domains/Account/Users/Names处,选择Administrator用户,在右侧的键值处可以找到对应的值如0x1f4,然后从左侧的Users目录下可以找到对应的文件。

其次前往SAM/Domains/Account/Users/Names处,选择Administrator用户,在右侧的键值处可以找到对应的值如0x3ec,然后从左侧的Users目录下可以找到对应的文件。

4.替换F值

然后从对应的000001F4文件中将键值对F的值复制出来。然后同理找到隐藏账户powershell 所对应的文件,并将从 A d m i n i s t r a t o r 文件中复制出来的 F 值粘贴进 p o w e r s h e l l 所对应的文件,并将从Administrator文件中复制出来的F值粘贴进 powershell 所对应的文件,并将从Administrator文件中复制出来的F值粘贴进powershell文件中。

把之前复制的f值粘贴到0x3ec的f值中

5.导出需隐藏用户的表

最后将powershell$ 和000003EC从注册表中右键导出,并删除powershell 用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现 p o w e r s h e l l 用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现powershell 用户,然后将刚刚导出的两个文件重新导入进注册表中即可实现powershell用户的隐藏。
导出powershell$表

导出000003EC表

导出来的表如下

6.删除需要隐藏的用户

net user powershell$ /del 

此时注册表

7.导入需隐藏用户的表

导入000003EC表

导入powershell$表

此时注册表

8.隐藏状态

管理账户下看不到隐藏用户

计算机管理用户下看不到隐藏用户

注销登录页面查看任然可以看到创建的隐藏账户

5、登陆界面隐藏账户

在注册表中进行设置,使用户不在登录界面显示。
终端中输入: regedit 回车打开注册表编辑器。

regedit 

依次定位到:进入注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\
右键新建项SpecialAccounts

右键新建项UserList

右键新建项DWORD32值

名称为需要隐藏的账户,值为0
值为0表示隐藏,值为1表示显示

最终如下

6、用户被完全隐藏

登录界面也看不到了

7、用户正常登录

采用powershell$登录,成功登录

登陆进来用的是administrator的身份

三、应急响应发现隐藏账户

对比以下三张表数量及名称,发现powershell$隐藏用户

1、注册表中用户

查看注册表中HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names 位置的用户名

2、管理账户中用户

控制面板–>用户账户–>管理账户

3、管理工具中用户

管理工具–>计算机管理–>本地用户和组–>用户

干货Windows系统信息收集篇

 

市场分析:计算机取证,就是应急响应。而应急响应的市场在于黑产的攻击频率。在当今的社会里,更多的人为了钱铤而走险的比比皆是,这个市场随着比特币,大数据,物联网的来临,规模将更加的庞大与有组织性。这将导致,安全岗位迫在眼前。他们攻击的越凶越复杂,我们的收入就越多,当然自身需要的技术也就要求越高,对整个团队的依赖也就越多。

 

后面连续的几个干货将重点围绕windows系统感受取证技术。您将看见,双系统(linux和windows)中的细节落实。每一个消费心理会导致不一样的策划行为判断。同理,每一个技术细节,会改变你对安全行业的认可或者不认可。精准的判断来自于更多的消息整合,如果你在入或者不入安全圈的判断期间,在此之前先感受一下windows再做判断吧。

 

来源Unit 5: Windows Acquisition 5.1 Windows Acquisition Windows Volatile Data Acquisition

 

伏笔:在2008年之前,执法人员通常会拔掉插头,以保存可疑计算机上的非易失性数字证据,主要精力放在获取磁盘数据上。这种规范的行为被保留到至今,当收集完网络数据内存数据以后,拔掉电源再收集磁盘数据。

 

随着高级加密技术和恶意软件的出现,存在于物理内存中的易失性数据对于恢复加密密钥检测恶意软件以供调查变得至关重要。收集内存数据时,工具占用越小,对内存的干扰越小。

 

已下是windows系统内置的命令,有人说搞安全要学cmd吗,我要学哪些cmd命令?有这些疑惑的人,都是接触到的教育环境不好造成的。接触到优质的学习土壤,这些将不是问题。

技术分享图片

 

使用Windows Netcat将证据保存到你的电脑中,需要带上时间与系统时间。Date命令,uptime命令

带上系统的准确信息。Psinfo命令。

如果您在win7中常识,部分命令无效,这默认它们仅在windows的服务器中有效。毕竟,攻击目标大多数是服务器。

技术分享图片

 

检查网络接口是否为混杂模式运行。    Ipconfig命令

寻找可疑进程。   Tasklist /svc     psservices   pslist命令

列出当前加载的dll,使用listdlls     process explorer  命令

 

Dll知识伏笔:我们知道只有二进制,计算机才会运行。而现在的程序都是用高级语言编写的。不管使用什么高超的技术,高级语言离不开函数,而dll中存在大量函数。Dll从这种角度出发,决定一个程序有什么功能。

 

查看哪些文件打开了   psfile       openfiles命令

显示网络连接    netstat       fport命令

显示登录用户    psloggedon    logonsesslons

查看剪切内容   pclip

 

 

来自e-fense的取证工具Helix3是非常棒的。它有商业版和免费版两种。这里用免费版感受感受。

我用了非常多的感受,因为它可以让你产生更多的优质判断力,让每一次的重大抉择倾向于成功。

 

已Windows 7为例子来使用这个工具。

点击它,获取系统信息

技术分享图片

 

点击箭头,显示运行的进程。如果存在rootkits隐藏了进程,那么这些隐藏的进程在这里看不见。

这个结果与Windows任务管理器相同。

技术分享图片

 

这个功能是采集数据。Windows版本的dd,大多数情况下这么操作来采集,内存受限区域您将采取不到。点击箭头往后面翻有多款采集工具,采集数据的话使用这三款工具Winen, FTK Imager, Memory DD。

技术分享图片

 

应急响应功能

技术分享图片

 

技术分享图片

 

这是Windows NTFS文件系统,这些美元符号文件是系统文件

技术分享图片

 

可以启动netcat通过网络将数据存到你的机器里

技术分享图片

 

第二页有散列计算功能,放一个文件进去,生成MD5值。这里的rootkit不是很有效,如果你有一个根用户模式的rootkit,它可以收集一些。如果你看过i春秋中的kali linux教学就会发现Putty工具。还有个文件恢复,选择你需要的导出它们即可。

技术分享图片

 

第三页信息  很多密码查看,历史记录,网站浏览跟踪工具。注册表查看

技术分享图片

 

浏览器内容,一定要小心的操作或者先不操作,它可能会修改信息,在法庭上,人们会质疑你说你在修改证据让恶徒抓住把柄。C盘下有个美元符号,这是windows构件之一。后面再讨论它。

技术分享图片

 

每一个这个,对应一个用户。右边列出的都是文件。

技术分享图片

 

这个工具很吸引人,你完全可以花非常多的时间去熟悉它,使用它。

文章到此结束。最后记住余弦的话,技术与管理往往密切相关,尤其是在这个信息高速发展的时代。错误的抉择甚至让团队面临危机。再关注一些过程的实际发生情况,将彻底改变你的判断观与管理观,不要被不入流的人给带偏了。有的人表面教你一套,实际上自己用的是另外一套规则,小心。关注过程感受本源再勇敢的下判断。

 

以上观点借鉴于余弦的世界观,判断力与抉择力仅此而已,实用则用,不实用就当放屁。

余弦原创地址:https://zhuanlan.zhihu.com/p/19691465   

博客地址https://www.cnblogs.com/sec875/          带众吃瓜

 

以上是关于[ 应急响应基础篇 ] Windows系统隐藏账户详解(Windows留后门账号)的主要内容,如果未能解决你的问题,请参考以下文章

初识应急响应 (持续更新中)

应急响应篇:windows入侵排查

应急响应Windows 安全部署

应急响应基础技能

应急响应第一篇之基础篇

应急响应第一篇之基础篇