[原创]说一个隐蔽克隆帐号的方法 提前祝中秋 国庆快乐 呵呵
文章作者:a11yesno信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
漏洞发现日期 05年某月
注:因为最近没怎么关注网络安全 凭记忆中貌似没人说过这个方法 所以放出来 不要拍砖我 thx!
原理很简单的啊 sam的 FV键值吧 重点如何躲过检测
一般的检测克隆帐号的都是检测 sam里面有没有相同的 FV吧 利用这个特性绕过检测吧 呵呵
步骤
1.net user allyesno freexploit /add&net localgroup administrators allyesno /add
2.clone allyesno->guest
3.delete allyesno sam FV (呵呵,这样就完成啦)
如此以来常规的检测工具就无法检测拉 嘎嘎。。
另外kaka提过一旦登录帐号就会生成文件的问题 这个可以在注册表里面修改用户生成文件路径 以及加其他工具辅助隐藏
测试环境当时为 xp sp2&2003 sp1不知道微软现在是否补了 不知道Vista是否可以使用
可以加我QQ讨论一下 138888318 验证:很好,很和谐
thx:当时在0x577 irc里帮忙测试的一些人 例如kaka luoluo等等(太久了其他人记不得了)
ps:叹,已经被边缘化了 T_T..... 楼上的兄弟,好像现在还没有方法能避开注册表呀 。。。。 [s:267] 这个方法就是避开注册表检测的 。。。 难道楼主的方法在注册表下看不到用户名??
应该是只能避开检测工具吧?? [quote]引用第4楼瘦瘦于2007-09-18 23:56发表的 :
难道楼主的方法在注册表下看不到用户名??
应该是只能避开检测工具吧??[/quote]
这个只能避开工具如果手动打开注册表事故会发现滴 [quote]引用第4楼瘦瘦于2007-09-18 23:56发表的 :
难道楼主的方法在注册表下看不到用户名??
应该是只能避开检测工具吧??[/quote]
把用户名删除就行拉 clone allyesno->guest,这个CLONE是过程把?删除了FV2个值。帐户能正常登陆吗? 应该可以登录吧,以前大家的好多方法不就是删除这个键吗。 ...有点闷了,我们原来手工克隆时就是复制administrator的两个fv键值,现在复制过去了,结果又删掉了,不是什么都没做么 我在2003 AS 下测试不成功
打了补丁 怀疑失败得原因是
用户被删除了 他得F V还有作用吗?系统能识别? 删除注册表的相关信息和用net user xxx /delete 这样删除是不同的
我建立了用户allyesno 然后把 guest 克隆成allyesno
allyesno 和 guest都通过注册表 指向sam文件里面的用户信息
windows系统认证用户的启动方式 是 首先在注册表查询相关的 用户名称(sam里面) 然后在sam文件里面读取相应的信息启动
如果使用net user allyesno /delete 这样的命令 那么sam注册表 以及sam文件的用户信息都会被删除
而guest指向的 sam文件里面的allyesno用户信息被删除了 guest自然就不会成功登录了
相反 仅仅将注册表里面 allyesno的用户信息全部删除 但是sam文件里面仍然保留着allyesno的信息 所以guest是可以成功登录的
好长一段 [s:265]
页:
[1]