Windows影子用户创建与3389连接

Windows影子用户创建与3389连接

前言

　　当获得一条shell后，可以创建一个影子用户，通过影子用户可以行驶正常用户的所有权限与功能，并且只可在注册表中被检测出来---（应急响应注册表很重要）

正文

　　1.首先需要拥有权限创建一个Administrator用户，并分配管理员权限。

net user haha$ waynes /add
net localgroup administrators haha$ /add 
net localgroup users haha$ /del

　　2.切换到影子用户下，然后打开注册表HKEY_LOCAL_MACHINE\SAM\SAM,右击权限，找到Administrators勾选完全控制，关闭注册表。

　　3.在注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names找到要创建到账户，与其默认类型。

　　可以看到这个隐藏用户的默认类型是0x3e9

　　4.将隐藏用户导出注册表1.reg，放入桌面

　　5.将隐藏用户默认类型对应的注册表导出为2.reg到桌面上

　　6.接着导出想要复制的账户，比如管理员帐户的默认类型为00001F4导出为3.reg最终得到3个文件 

　　7.然后打开2.reg，将3.reg中的F值对应替换为2.reg中的值，保存2.reg，删除3.reg

　　8.在CMD窗口下删除用户haha$

net user haha$ /del

　　再次打开注册表发现之前注册表隐藏信息已经清除

　　然后把1.reg,2.reg导入注册表

　　9.最终切换用户，登录到haha$账户下，输入创建的密码就可以进入被复制到的账户的页面。　　

　　重启后发现创建haha$的用户也消失了。

　　10.使用3389远程连接，账户haha$,密码waynes，正常登录Admistrator用户。影子用户创建成功！

　　如果出现以下这种情况

　　则在本机上打开运行输入

gpedit.msc

 　   打开本地组策略编辑器

　　找到凭据分配

 　　点击启用

　　此时即可以成功连接

 

后话

　　windows版本，安装最新补丁后无法远程连接。

　　相关的Microsoft知识库编号已在CVE-2018-0886中列出。