一個隱蔽克隆帳號的方法

2020-02-04 13:08:41

字體：大中小

來源：轉載

供稿：網友

文章作者：a11yesno
信息來源：邪惡八進制信息安全團隊（www.eviloctal.com）

漏洞發現日期 05年某月

注：因為最近沒怎么關注網絡安全憑記憶中貌似沒人說過這個方法所以放出來不要拍磚我 thx！

原理很簡單的啊 sam的 FV鍵值吧重點如何躲過檢測
一般的檢測克隆帳號的都是檢測 sam里面有沒有相同的 FV吧利用這個特性繞過檢測吧呵呵

步驟

1.net user allyesno freexploit /add&net localgroup administrators allyesno /add
2.clone allyesno->guest
3.delete allyesno sam FV （呵呵，這樣就完成啦）

如此以來常規的檢測工具就無法檢測拉嘎嘎。。

另外kaka提過一旦登錄帳號就會生成文件的問題這個可以在注冊表里面修改用戶生成文件路徑以及加其他工具輔助隱藏

測試環境當時為 xp sp2&2003 sp1不知道微軟現在是否補了不知道Vista是否可以使用

可以加我QQ討論一下 138888318 驗證：很好，很和諧

thx:當時在0x577 irc里幫忙測試的一些人例如kaka luoluo等等（太久了其他人記不得了）
ps:嘆，已經被邊緣化了 T_T.....

一些補充：

刪除注冊表的相關信息和用net user xxx /delete 這樣刪除是不同的

我建立了用戶allyesno 然后把 guest 克隆成allyesno
allyesno 和 guest都通過注冊表指向sam文件里面的用戶信息
windows系統認證用戶的啟動方式是首先在注冊表查詢相關的用戶名稱（sam里面）然后在sam文件里面讀取相應的信息啟動

如果使用net user allyesno /delete 這樣的命令那么sam注冊表以及sam文件的用戶信息都會被刪除
而guest指向的 sam文件里面的allyesno用戶信息被刪除了 guest自然就不會成功登錄了

相反僅僅將注冊表里面 allyesno的用戶信息全部刪除但是sam文件里面仍然保留著allyesno的信息所以guest是可以成功登錄的

好長一段

上一篇：一鍵GHOST V8.3 Build 060425 硬盤版一鍵ghost使用方法說明[圖文詳細教程]

下一篇：不知道或忘記或破解Vista密碼的方法