|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『楼 主』:
[已结]很有挑战的任务:用批处理检测克隆账户
用批处理检测克隆账户!
允许使用第三方软件,不过最好不用!
[ Last edited by HAT on 2008-11-15 at 10:10 ]
|
|
 2007-8-30 02:28 |
|
|
slore
铂金会员
积分 5212
发帖 2478
注册 2007-2-8
状态 离线
|
|
|
2007-8-30 10:33 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第
3 楼』:
| Quote: | Originally posted by slore at 2007-8-30 10:33 AM:
克隆账户? |
|
是啊,是一个隐藏的账户,很难发现,但可以拥有管理员权限。
|
|
|
2007-8-30 13:46 |
|
|
yishanju
银牌会员
[b]看你妹啊[/b]
积分 1488
发帖 1357
注册 2006-5-20
状态 离线
|
『第
4 楼』:
用批处理读注册表?
|
有问题请发论坛或者自行搜索,再短消息问我的统统是SB |
|
|
2007-8-30 13:59 |
|
|
my3439955
中级用户
积分 272
发帖 99
注册 2006-6-2
状态 离线
|
『第
5 楼』:
检查"C:\Documents and Settings"下的目录是一个办法,但是如果创建的用户还没有登陆过,那么将不会有任何对应的目录
我想是不是可以使用这样一个办法,对于新创建的帐户abcd$,使用Net user命令查看不到这个帐户,我们可以到它所在的组中去找寻.用net localgroup命令可以列举出所有的组.选择一个组,例如users,使用命令net localgroup users将显示出组中的所有帐户,无论隐藏与否.如果abcd$在这里面,那么它就现身了.
一个帐户总回属于一个组,我们枚举了所有的组,就可以得到所有的帐户.
|
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* |
|
|
2007-8-30 15:19 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第
6 楼』:
这对隐藏帐户应该有用,不过对克隆帐户不一定有用啊。克隆帐户本身是不存在的,只有在注册表中能看出稍许。不过用SetACL工具无法获得HKLM\SAM\SAM键的权限啊!
|
|
|
2007-8-30 15:41 |
|
|
slore
铂金会员
积分 5212
发帖 2478
注册 2007-2-8
状态 离线
|
『第
7 楼』:
呵呵,克隆账户还是第一次听。自己的电脑就自己一个用户,不了解它,所以帮不上。
|
|
|
2007-8-30 18:42 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第
8 楼』:
经过试验已确定C:\Documents and Settings下是没有克隆账户的文件夹的,理论上应该用的就是管理员账户的配置文件。而且用net user和net localgroup administrators命令都无法发现这个账户,组策略里也没有这个账户,隐蔽性一流啊!!
|
|
|
2007-8-30 20:39 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第
9 楼』:
| Quote: | Originally posted by slore at 2007-8-30 06:42 PM:
呵呵,克隆账户还是第一次听。自己的电脑就自己一个用户,不了解它,所以帮不上。 |
|
你认为只有你一个账户,搞不好还有一个克隆账户哦,按现在的情况看在不使用第三方图形界面工具的情况下,注册表是唯一能发现隐藏账户的方法,你怎么知道你没有呢?;)
|
|
|
2007-8-30 20:41 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第
10 楼』:
我说一下我的方法,用mt生成一个system权限的命令行,system权限是可以读取SAM键值的,然后判断。这个方法理论上可行,不过mt被大多数杀毒软件列为病毒,在装有杀毒软件的电脑上无法运行啊。不知道有没有其他的可以提权到system权限又不会被杀毒软件干掉的命令行工具啊?
|
|
|
2007-8-30 20:46 |
|
|
HAT
版主
积分 9023
发帖 5017
注册 2007-5-31
状态 离线
|
『第
11 楼』:
@echo off
rem 假设现在的系统时间是13:16
rem 运行下面的命令可以在两分钟后获得一个具有system权限的shell
at 13:18 /interactive %systemroot%\system32\cmd.exe
[ Last edited by HAT on 2007-8-30 at 09:39 PM ]
|
|
|
2007-8-30 21:36 |
|
|
slore
铂金会员
积分 5212
发帖 2478
注册 2007-2-8
状态 离线
|
『第
12 楼』:
| Quote: | Originally posted by fonlan at 2007-8-30 20:41:
你认为只有你一个账户,搞不好还有一个克隆账户哦,按现在的情况看在不使用第三方图形界面工具的情况下,注册表是唯一能发现隐藏账户的方法,你怎么知道你没有呢?;) |
|
呵呵~直觉+经验……恩,网上查了如何创建……发现原来我还真只有1个用户嗬~
不用cmd
直接at 那个启动regedit就可以看sam了
|
|
|
2007-8-30 21:51 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第
13 楼』:
果然可以哈,又学到一招,谢谢!!
|
|
|
2007-8-30 23:00 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第
14 楼』:
不过at命令至少要延迟一分钟才行的么?有没有立即启动system权限cmd的方法?
|
|
|
2007-8-31 15:16 |
|
|
slore
铂金会员
积分 5212
发帖 2478
注册 2007-2-8
状态 离线
|
『第
15 楼』:
修改时间也许吧……不过还是不乱改时间的好
……
附件
1:  CheckClUser.rar (2007-8-31 18:39, 38.79 K, 下载附件所需积分 1 点
,下载次数: 38)
|
|
|
2007-8-31 18:39 |
|
