2003 Server下隐藏帐号的建立
简介
前段时间在帮客户处理一台服务器的安全问题时,发现该服务器被人远程***了,并且在系统中加入了隐藏帐户。可能是***人员的技术问题,虽然加入了隐藏帐户却使得系统的“用户管理”面板打开异常。为了防止再出现类似的问题,特重新测试了在2003 Server系统下建立及检测隐藏帐户的方法。
影子账户,顾名思义就是隐藏的账户,在“控制面板-用户账户”里面是看不见,但却有管理员权限的账户。
整个操作过程已用视频记录,如果查看本文仍有不清楚之处,可下载该视频:http://down.51cto.com/data/142363。
操作方法
查看系统帐户
以正常的管理员用户进入系统,查看系统中所有帐户,如下图所示。可以看到正常情况下操作系统的所有已启用和禁用的帐户。
查看注册表中帐户的对应关系
系统中账户的信息存储在注册表HKEY_LOCAL_MACHINE\SAM\SAM键中,正常情况下用户(包括管理员)是无法查看其中的内容的。如下图所示。
通过给该键值赋予控制权限,可以使相应帐户能正常查看该键值的内容,如下图所示。其中domains下包括Users键值和Names键值,其中Names键值中的内容对应相应的帐户(如administrator),帐户下的键值(0X1F4)对应Users中的值(000001F4),该值下的F键和V键代表帐户及权限。
增加帐户
在命令行方式下用“net user”命令增加测试用户,如下图所示。
导出测试账户的注册表键值
增加测试账户后,在注册表中找到测试用户及键值并导出该键值。如下图所示。
删除已建立的测试账户
删除系统帐户后,在“用户管理”面板中将清除该用户同时注册表中的相应键值也会一并清除,如下图所示。
导入注册表键值
重导入先前的注册表键值,如下图所示。该键值导入后可在注册表键值中看到该用户的信息。
恢复注册表原有权限
用户账户导入后,为了保证效果及系统的正常,重新将注册表键值恢复到初始状态,如下图所示。
将该用户加入管理员组
在命令行方式下将该账户加入管理员组,使其具有管理员权限能进行系统登陆和相应的操作,如下图所示。
帐户测试
查看系统用户
用户添加成功并加入管理员组后,先在控制面板的“用户管理”中查看所有的用户,然后使用命令行的方式显示系统中的所有用户,同时使用帐户检测工具来查看系统中的所有用户。在对比中会发现只有检测工具可以检测到test$用户。(该检测工具将在附件中提供下载)如下图所示。
使用test$用户登陆
在完成以上的所有操作后,为了测试该用户是否正常添加,可以使用该用户登陆系统作检测,如下图所示。
转载于:https://blog.51cto.com/waringid/428111