除了利用手工的方法来更改SAM修改权限进行账号克隆外,我们还可以利用“PSU.exe”这款工具把当前的管理员越权为System权限。
1.PSU语法简介
PSU [参数] ,其中参数有:
-p 要运行的程序名
-i 要处理的System进程号
2.利用PSU越权运行SAM
单击“开始”/“运行”,输入“CMD”打开命令符窗口,输入“psu -p regedit -i 8”,意思是以System权限运行regedit程序,指定System的进程ID号为8,如图8.13所示。
图8.13 使用PSU修改SAM修改权限
System的进程ID号可以按“Ctrl+Alt+Delete”三键后,调出“Windows任务管理器”,在进程标签中查看,如图8.14所示。
接下来单击“开始”/“运行”,输入“regedit”打开注册表编辑,这时就可以对SAM信息进行编辑了,利用上面讲过复制粘贴键值信息的方法进行账号克隆即可。
账号克隆好后,还需要进行账号密码的修改、禁用以及检验。
3.在CMD命令窗口中修改账号密码
修改账号密码是为了保护肉鸡不被其它黑客所用,在在CMD命令窗口中,键入命令“net user guest 123456”,即可为这个Guest账号添加了123456的密码,如图8.15所示。
4.禁用Guest账号
禁用Guest是为了让这个后门账号更加隐蔽,虽然管理员在查看时看到这个账号被禁用了,但是我们利用这个被禁用的账号依然可以进入系统。我们通过命令行来实现这个操作,在CMD命令窗口中,键入命令“net user guest /active:no”,即可禁用此账号,在“计算机管理”中查看,Guest账号已经被禁用了,如图8.16所示。
5.验证后门账号
最后来验证一个这个后门账号,看管理员是否能看出它的破绽。首先在CMD命令窗口中键入“net user guest”命令查看Guest账号的属性,如图8.17中可以看到该Guest账号确实已被禁用,而且仅仅属于“Guests组”。
再输入命令“net localgroup administrators”查看管理员组的成员,命令结果如图8.18所示,从图中可以看出Guest账号并不属于本机管理员组。
再使用“计算机管理”,在右侧窗口可见该Guest账号已经被禁用了,双击被禁用的Guest账号来查看该账号的属性,发现也只显示出该Guest账号属于Guests组,如图8.19所示。
通过以上的方法来查看Guest账号的权限,发现都不能看出这个账号存在的问题,事实上,这是我们所有的能查看账号属性的方法。由此可见“账号后门”是非常隐蔽的!
上一篇:制造Unicode漏洞
下一篇:《木马克星》让木马靠边站
广告招租QQ:286313316