系统提权和日志管理

windows密码文件破

 

windows系统存储密码的文件在c:\windows\system32\config\SAM文件中

但是是以Hash来存储的。

 

LM-Hash,Win9x系统采用,安全性比较差。

NTLM-Hash,Win2000之后的系统采用。

Win7/2008之前的系统同时采用这两种方式存储密码;

Win7/2008之后的系统只采用NTLM-Hash。

 

GetHashes

只能获取WinXP/2003以下系统的用户密码Hash值,已经比较过时了。

 

Quarks PwDump

支持XP/2003/Vista/7/2008/8/2012

使用这样的软件可以破解得到本地账户的hash值,我们可以通过菜刀连上服务器再上传QuarksPwDump.exe,在命令行里运行

但是出现了DNS服务器对区域没有权威的问题

 

 

原来是因为我是从文件夹里面直接打开cmd的,会缺少权限,所以才会这样,还是老老实实打开cmd,

输入命令QuarksPwDump.exe -dhl 就是会把local的账户hash给dump(倾倒)下来

 

 

 

 

下面就看得到该主机的账号和对应密码的hash了

 

 

 

然后呢 我们再在这个网站上https://www.objectif-securite.ch/ophcrack破解hash值,成功得到win7的密码

 

 

然后我试了一下win10系统,目前这个软件是dump不出来的。

 

 

 

建立简单的隐藏账号

在创建账号的时候加上$符号,这样可以简单隐藏 net user 命令查看不到

 

但是呢 我们可以在图像界面用户组里面看到,所以说这个手段还是不够隐蔽

 

 

常常使用注册表来创建相当于是administrator的clone账号,为什么这么说呢?

 

我们使用whoami /all

 

 

 

 

 

SID:系统为每个用户账号建立一个唯一的安全标识符(Security Identifier,SID),在Windows系统内部核心,是利用SID而不是账户名称来表示或识别每个用户。

 

 

 

 这就相当于我们每个人的身份证号一样,是唯一的。

RID:红色箭头所指的最后一位 1003便是RID。

RID是500的SID是系统内置Administrator账户,即使重命名,其RID仍保持为500不变。

RID为501的SID是Guest账户, 后来新建的用户账户的RID都是从1000开始。

 

那么我们打开注册表,regedit,HKEY_LOCAL_MACHINE\SAM\SAM]目录下,SAM肯定是和用户账号相关的

 

 

但是这里到SAM文件夹就啥也没有了,我们查看权限

 

 

 管理员用户是没有权限控制的,system才有,我们勾选上权限就可以看见了

 

 

 

这里管理员的注册表键值类型是0x1f4,也就是500这里是RID

 

 

 

 再看看我们之前查看的用户0x3eb,果然也是1003

 

 

 

 

 

如何隐藏hack$用户呢,我们先把对应的账户文件夹注册表导入下来,然后删掉hack$用户

 

 

 

 

 

 

 

 

 

接着再导入这两个注册表文件

 

 

接着再 检查一下是否还看得见这个用户

 

 

 

 

现在是找不到hack$这个用户了,那么我们如何添加到管理员组中去,而且net user localgroup administrators 查不到呢?

这就要说到SID了,我们为什么说前面clone管理员账户呢,我们hack$账号使用管理员账号的SID这样就相当于clone了

 

 

复制所选16进制,然后粘贴到我们hack$账号的F注册表上,这样我们hack$账号就成功clone了!

 

 

posted @ 2021-05-12 20:05  Erichas  阅读(481)  评论(0编辑  收藏  举报