系统提权和日志管理
windows密码文件破解
windows系统存储密码的文件在c:\windows\system32\config\SAM文件中
但是是以Hash来存储的。
LM-Hash,Win9x系统采用,安全性比较差。
NTLM-Hash,Win2000之后的系统采用。
Win7/2008之前的系统同时采用这两种方式存储密码;
Win7/2008之后的系统只采用NTLM-Hash。
GetHashes
只能获取WinXP/2003以下系统的用户密码Hash值,已经比较过时了。
Quarks PwDump
支持XP/2003/Vista/7/2008/8/2012
使用这样的软件可以破解得到本地账户的hash值,我们可以通过菜刀连上服务器再上传QuarksPwDump.exe,在命令行里运行
但是出现了DNS服务器对区域没有权威的问题
原来是因为我是从文件夹里面直接打开cmd的,会缺少权限,所以才会这样,还是老老实实打开cmd,
输入命令QuarksPwDump.exe -dhl 就是会把local的账户hash给dump(倾倒)下来
下面就看得到该主机的账号和对应密码的hash了
然后呢 我们再在这个网站上https://www.objectif-securite.ch/ophcrack破解hash值,成功得到win7的密码
然后我试了一下win10系统,目前这个软件是dump不出来的。
建立简单的隐藏账号
在创建账号的时候加上$符号,这样可以简单隐藏 net user 命令查看不到
但是呢 我们可以在图像界面用户组里面看到,所以说这个手段还是不够隐蔽
常常使用注册表来创建相当于是administrator的clone账号,为什么这么说呢?
我们使用whoami /all
SID:系统为每个用户账号建立一个唯一的安全标识符(Security Identifier,SID),在Windows系统内部核心,是利用SID而不是账户名称来表示或识别每个用户。
这就相当于我们每个人的身份证号一样,是唯一的。
RID:红色箭头所指的最后一位 1003便是RID。
RID是500的SID是系统内置Administrator账户,即使重命名,其RID仍保持为500不变。
RID为501的SID是Guest账户, 后来新建的用户账户的RID都是从1000开始。
那么我们打开注册表,regedit,HKEY_LOCAL_MACHINE\SAM\SAM]目录下,SAM肯定是和用户账号相关的
但是这里到SAM文件夹就啥也没有了,我们查看权限
管理员用户是没有权限控制的,system才有,我们勾选上权限就可以看见了
这里管理员的注册表键值类型是0x1f4,也就是500这里是RID
再看看我们之前查看的用户0x3eb,果然也是1003
如何隐藏hack$用户呢,我们先把对应的账户文件夹注册表导入下来,然后删掉hack$用户
接着再导入这两个注册表文件
接着再 检查一下是否还看得见这个用户
现在是找不到hack$这个用户了,那么我们如何添加到管理员组中去,而且net user localgroup administrators 查不到呢?
这就要说到SID了,我们为什么说前面clone管理员账户呢,我们hack$账号使用管理员账号的SID这样就相当于clone了
复制所选16进制,然后粘贴到我们hack$账号的F注册表上,这样我们hack$账号就成功clone了!