WEB开发网
开发学院网络安全安全技术 黑客攻防实战:Windows系统克隆攻击与防范 阅读

黑客攻防实战:Windows系统克隆攻击与防范

 2008-12-15 13:39:05 来源:WEB开发网   
核心提示: 1.手工克隆方法一在Windows 2000/xp/2003和Windows NT里,默认管理员账号的SID是固定的500(0x1f4),黑客攻防实战:Windows系统克隆攻击与防范(2),那么我们可以用机器里已经存在的一个账号将SID为500的账号进行克隆,在这里我们选择的账号是IUS

1.手工克隆方法一

在Windows 2000/xp/2003和Windows NT里,默认管理员账号的SID是固定的500(0x1f4),那么我们可以用机器里已经存在的一个账号将SID为500的账号进行克隆,在这里我们选择的账号是IUSR_XODU5PTT910NHOO(XODU5PTT910NHOO为已被攻陷的服务器机器名。为了加强隐蔽性,我们选择了这个账号,所有用户都可以用以下的方法,只不过这个用户较常见罢了)

我们这里要用到的一个工具是PsExec,一个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。PsExec 最强大的功能之一是在远程系统和远程支持工具(如 IpConfig)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。

执行:psexec -i -s -d cmd运行一个System的CMD Shell,如图1所示。

黑客攻防实战:Windows系统克隆攻击与防范

图1

得到一个有system权限的cmd shell,然后在该CMD Shell里面运行“regedit /e admin.reg HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers00001F4”,这样我们将SID为500(0x1f4)的管理员账号的相关信息导出,如图2所示。

黑客攻防实战:Windows系统克隆攻击与防范

图2

然后编辑admin.reg文件,将admin.reg文件的第三行HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers00001F4中的“1F4”修改为IUSR_XODU5PTT910NHOO的SID,将文件中的“1F4”修改为“3EB”,如图3所示。

上一页  1 2 3 4 5 6 7  下一页

Tags:黑客攻防 实战 Windows

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接