标签：影子 SAM Windows 创建 haha 用户 3389 注册表 reg

Windows影子用户创建与3389连接

前言

　　当获得一条shell后，可以创建一个影子用户，通过影子用户可以行驶正常用户的所有权限与功能，并且只可在注册表中被检测出来---（应急响应注册表很重要）

正文

　　1.首先需要拥有权限创建一个Administrator用户，并分配管理员权限。

1 net user haha$ waynes /add
2 net localgroup administrators haha$ /add 
3 net localgroup users haha$ /del

　　2.切换到影子用户下，然后打开注册表HKEY_LOCAL_MACHINE\SAM\SAM,右击权限，找到Administrators勾选完全控制，关闭注册表。

　　3.在注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names找到要创建到账户，与其默认类型。 　　可以看到这个隐藏用户的默认类型是0x3e9 　　4.将隐藏用户导出注册表1.reg，放入桌面 　　5.将隐藏用户默认类型对应的注册表导出为2.reg到桌面上 　　6.接着导出想要复制的账户，比如管理员帐户的默认类型为00001F4导出为3.reg最终得到3个文件  　　7.然后打开2.reg，将3.reg中的F值对应替换为2.reg中的值，保存2.reg，删除3.reg 　　8.在CMD窗口下删除用户haha$

net user haha$ /del

　　再次打开注册表发现之前注册表隐藏信息已经清除 　　然后把1.reg,2.reg导入注册表 　　9.最终切换用户，登录到haha$账户下，输入创建的密码就可以进入被复制到的账户的页面。　　 　　重启后发现创建haha$的用户也消失了。 　　10.使用3389远程连接，账户haha$,密码waynes，正常登录Admistrator用户。影子用户创建成功！

　　如果出现以下这种情况

　　则在本机上打开运行输入

gpedit.msc

 　   打开本地组策略编辑器

　　找到凭据分配

 　　点击启用

　　此时即可以成功连接

 

后话

　　windows版本，安装最新补丁后无法远程连接。

　　相关的Microsoft知识库编号已在CVE-2018-0886中列出。

 

 

标签：影子,SAM,Windows,创建,haha,用户,3389,注册表,reg
来源： https://www.cnblogs.com/SeanGyy/p/15611730.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。