用户账号的克隆方法.doc

一、,一处是注册表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers下的子键名,另一处是该子键的子项F的值。但微软犯了个不同步它们的错误,登录时用的是后者,查询时用前者。当用Administrator的F项覆盖其他账号的F项后,就造成了账号是管理员权限,但查询还是原来状态的情况,这就是所谓的克隆账号。安全小知识:SID也就是安全标识符(SecurityIdentifiers),是标识用户、组和计算机账户的唯一的号码。在第一次创建该账户时,将给网络上的每一个账户发布一个唯一的SID。Windows2000中的内部进程将引用账户的SID而不是账户的用户或组名。如果创建账户,再删除账户,然后使用相同的用户名创建另一个账户,则新账户将不具有授权给前一个账户的权力或权限,原因是该账户具有不同的SID号。,配合终端服务,就等于向攻击者开启了一扇隐蔽的后门,让攻击者可以随时进入你的系统,这一扇门你看不到,因为它依靠的是微软的终端服务,并没有释放病毒文件,所以也不会被杀毒软件所查杀。二、,默认管理员账号的SID是固定的500(0x1f4),那么我们可以用机器里已经存在的一个账号将SID为500的账号进行克隆,在这里我们选择的账号是IUSR_XODU5PTT910NHOO(XODU5PTT910NHOO为已被攻陷的服务器机器名。为了加强隐蔽性,我们选择了这个账号,所有用户都可以用以下的方法,只不过这个用户较常见罢了)我们这里要用到的一个工具是PsExec,替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。PsExec最强大的功能之一是在远程系统和远程支持工具(如IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。执行:psexec-i-s-dcmd运行一个System的CMDShell,如图1所示。图1得到一个有system权限的cmdshell,然后在该CMDShell里面运行“regedit/\SAM\SAM\Domains\Account\Users\000001F4”,这样我们将SID为500(0x1f4)的管理员账号的相关信息导出,如图2所示。,\SAM\SAM\Domains\Account\Users\000001F4中的“1F4”修改为IUSR_XODU5PTT910NHOO的SID,将文件中的“1F4”修改为“3EB”,如图3所示。图3保存之后,然后执行如下命令:“regedit/”,,userIUSR_XODU5PTT910NHOOn3tl04d”命令,修改IUSR_XODU5PTT910NHOO的密码为n3tl04d。这里建议最好使用14位的密码,也就是说越像IUSR_XODU5PTT910NHOO的密码越好,现在,就可以使用IUSR_XODU5PTT910NHOO密码为n3tl04d远程登录了,和管理员一样的配置环境!如图4所示。图4注意:大部份机器里IUSR_MACHINE用户的SID都为0x3E9(如果机器在最初安装的时候没有安装IIS,而是自己创建了账号后再安装IIS就有可能不是这个值了),如果不确定,可以使用:“regedit/\SAM\SAM\Domains\Account\Users\Names\IUSR_MACHINE”命令先导出注册表,,就可以看到SID为“3EB”,如图5所示。:,展开注册表到HKEY_LOCAL_MACHINE\SAM\SAM,然后点菜单栏的编辑权限(Windows2000是菜单栏的安全权限),会弹出SAM的权限窗口,:,展开注册表到HKEY_LOCAL_MACHINE\SAM\SAM,然后点菜单栏的“编辑”→“权限”(Windows2000是菜单栏的“安全”→“权限”),会弹出“SAM的权限”窗口,点击Administrators,在该窗口中勾选允许完全控制,(Windows2000是