黑客攻防实战：Windows系统克隆攻击与防范

核心提示： 1.手工克隆方法一在Windows 2000/xp/2003和Windows NT里，默认管理员账号的SID是固定的500（0x1f4），黑客攻防实战：Windows系统克隆攻击与防范(2)，那么我们可以用机器里已经存在的一个账号将SID为500的账号进行克隆，在这里我们选择的账号是IUS

1.手工克隆方法一

在Windows 2000/xp/2003和Windows NT里，默认管理员账号的SID是固定的500（0x1f4），那么我们可以用机器里已经存在的一个账号将SID为500的账号进行克隆，在这里我们选择的账号是IUSR_XODU5PTT910NHOO（XODU5PTT910NHOO为已被攻陷的服务器机器名。为了加强隐蔽性，我们选择了这个账号，所有用户都可以用以下的方法，只不过这个用户较常见罢了）

我们这里要用到的一个工具是PsExec，一个轻型的 telnet 替代工具，它使您无需手动安装客户端软件即可执行其他系统上的进程，并且可以获得与控制台应用程序相当的完全交互性。PsExec 最强大的功能之一是在远程系统和远程支持工具（如 IpConfig）中启动交互式命令提示窗口，以便显示无法通过其他方式显示的有关远程系统的信息。

执行：psexec -i -s -d cmd运行一个System的CMD Shell，如图1所示。

图1

得到一个有system权限的cmd shell，然后在该CMD Shell里面运行“regedit /e admin.reg HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers00001F4”，这样我们将SID为500（0x1f4）的管理员账号的相关信息导出，如图2所示。

图2

然后编辑admin.reg文件，将admin.reg文件的第三行HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers00001F4中的“1F4”修改为IUSR_XODU5PTT910NHOO的SID，将文件中的“1F4”修改为“3EB”，如图3所示。