什么是影子用户
影子帐户,是指系统隐藏帐户,在“控制面板-本地用户和组”里面看不见,但却有管理员权限的帐户(影子帐户可以做任何想做的事),一般存储在注册表中,多数情况下都和黑客入侵挂钩。
由于影子帐户隐藏性很强,几乎99%的用户被置入了影子帐户都不知道,黑客也就可以安全的为所欲为了。
而目前几乎没有能很好捕捉到影子帐户的工具。
实验环境
Windows 2008 r2 管理员权限
建立影子用户
首先在命令行新建一个用户 net user Jun$ /add $可以使该用户在命令行中隐藏在注册表或者其他地方依然可以查看到。
在运行里面输入regedit
找到HKEY_LOCAL_MACHINE\SAM\SAM”键,会发现下面的内容为空。只是我们的权限不够。需要手工设置更改注册表权限。单击sam下的sam右键进行权限设置。在弹出的“SAM的权限”编辑窗口中选中“administrators”账户,在下方的权限设置处勾选“完全控制”,完成后点击“确设置完权限F5刷新即可看到内容。可以发现“HKEY_LOCAL_MACHINESAMSAM”下面的键值都可以展开了
进入图中的目录点击administrator查看类型1F4,类型对应Users上面的1F4
然后点击Users上面的1F4双击双击左边的f然后将弹出来窗口里面的东西全部复制。
找到Jun$这个用户所对应的类型值把刚刚复制的替换进去。
然后把Users下对应的用户类型的导出,和Names下的用户Jun$导出。
然后在命令行下删除Jun$这个用户,此时注册表里面的Jun$会消失。
现在我们选择导出的两个文件并且运行,一定要先运行Users导出的那个在运行names导出的Jun$。
查看注册表发现用户又回来了,但是在计算管理的用户管理里面和其他方法是看不到的。
现在注销一下用影子用户登入。
登入成功并且具有管理员权限。