駭客攻防實戰 Windows系統複製攻擊與防範第1/2頁_安全設定

隨著電腦技術的發展和電腦的普及，還有大大小小的“駭客”網站和越來越簡單的工具，使得目前攻擊變得日趨頻繁，被植入木馬的電腦或伺服器也越來越多，與此同時系統管理員的安全意識也在不斷提高，加上殺毒軟體的發展，網路木馬的生命週期也越來越短，所以攻擊者在擷取了伺服器的控制許可權後，一般使用複製使用者或者安裝SHIFT後門達到隱藏自己的目的，下面就由我給大家介紹一些常見的複製使用者和檢查是否存在複製使用者及清除的方法。

一、複製帳號的原理與危害

1.複製帳號的原理

在註冊表中有兩處儲存了帳號的SID相對標誌符，一處是註冊表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers 下的子鍵名，另一處是該子鍵的子項F的值。但微軟犯了個不同步它們的錯誤，登入時用的是後者，查詢時用前者。當用Administrator的F項覆蓋其他帳號的F項後，就造成了帳號是管理員權限，但查詢還是原來狀態的情況，這就是所謂的複製帳號。

安全小知識：SID也就是安全性識別碼（Security Identifiers），是標識使用者、組和電腦賬戶的唯一的號碼。在第一次建立該賬戶時，將給網路上的每一個賬戶發布一個唯一的 SID。Windows 2000 中的內部進程將引用賬戶的 SID 而不是賬戶的使用者或組名。如果建立賬戶，再刪除賬戶，然後使用相同的使用者名稱建立另一個賬戶，則新賬戶將不具有授權給前一個賬戶的權力或許可權，原因是該賬戶具有不同的 S識別碼。

2. 複製帳號的危害

當系統使用者一旦被複製，配合終端服務，就等於向攻擊者開啟了一扇隱形後門，讓攻擊者可以隨時進入你的系統，這一扇門你看不到,因為它依靠的是微軟的終端服務，並沒有釋放病毒檔案，所以也不會被殺毒軟體所查殺。

二、複製使用者的常用方法

1.手工複製方法一

在Windows 2000/xp/2003和Windows NT裡，預設管理員帳號的SID是固定的500（0x1f4），那麼我們可以用機器裡已經存在的一個帳號將SID為500的帳號進行複製，在這裡我們選擇的帳號是IUSR_XODU5PTT910NHOO（XODU5PTT910NHOO為已被攻陷的伺服器機器名。為了加強隱蔽性，我們選擇了這個帳號，所有使用者都可以用以下的方法，只不過這個使用者較常見罷了）

我們這裡要用到的一個工具是PsExec，一個輕型的 telnet 替代工具，它使您無需手動安裝用戶端軟體即可執行其他系統上的進程，並且可以獲得與控制台應用程式相當的完全互動性。PsExec 最強大的功能之一是在遠程系統和遠程支援工具（如 IpConfig）中啟動互動式命令提示視窗，以便顯示無法通過其他方式顯示的有關遠程系統的資訊。
執行：psexec -i -s -d cmd運行一個System的CMD Shell，如圖1所示。

圖1

得到一個有system許可權的cmd shell，然後在該CMD Shell裡面運行“regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4”，這樣我們將SID為500（0x1f4）的管理員帳號的相關資訊匯出，如圖2所示。

圖2

然後編輯admin.reg檔案，將admin.reg檔案的第三行HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4中的“1F4”修改為IUSR_XODU5PTT910NHOO的SID，將檔案中的“1F4”修改為“3EB”，如圖3所示。

圖3

儲存之後，然後執行如下命令：“regedit /s admin.reg”，匯入該admin.reg檔案，最後執行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令，修改IUSR_XODU5PTT910NHOO的密碼為n3tl04d。這裡建議最好使用14位的密碼，也就是說越像 IUSR_XODU5PTT910NHOO的密碼越好，現在，就可以使用IUSR_XODU5PTT910NHOO密碼為n3tl04d遠程登入了，和管理員一樣的配置環境！如圖4所示。

圖4

注意：大部份機器裡IUSR_MACHINE使用者的SID都為0x3E9（如果機器在最初安裝的時候沒有安裝IIS，而是自己建立了帳號後再安裝IIS就有可能不是這個值了），如果不確定，可以使用：
“regedit /e sid.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\IUSR_MACHINE”命令先匯出註冊表，然後編輯sid.reg檔案，就可以看到SID為“3EB”，如圖5所示。

圖5

2.手工複製方法二

另外一種複製賬戶的方法是：首先運行regedt32.exe，展開註冊表到HKEY_LOCAL_MACHINE\SAM\SAM，然後點功能表列的“編輯”→“許可權”（Windows 2000是功能表列的“安全”→“許可權”），會彈出“SAM的許可權”視窗，點擊Administrators，在該視窗中勾選允許完全控制，(Windows 2000是在該視窗中勾選“允許將來自父系的可繼承許可權傳播給該對象”)然後點擊“確定”按鈕。如圖6所示。

圖6

再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00001F4，雙擊右邊視窗中的“F”項，如圖7所示。

圖7

選取全部內容，然後點擊滑鼠右鍵選“複製”，再開啟HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00003EB下的F項，將剛才複製的內容粘貼進去，這樣我們就將IUSR_XODU5PTT910NHOO帳號複製成了管理員，再將剛才SAM目錄的許可權給刪掉，以免被人發現。

3.使用mt複製

mt.exe是一款非常強大的網路工具，它主要以命令列方式執行，可以開啟系統服務，檢查使用者以及直接顯示使用者登陸密碼等。它就象一把雙刃劍，入侵者和系統管理員都要使用它，但由於常被入侵者使用，所以被很多殺毒軟體列為病毒。
關於MT的詳細測試報告可以到http://www.antian365.com/bbs/viewthread.php?tid=2786&extra=page%3D1&frombbs=1瞭解。複製使用者的用法如下：
mt -clone
如：mt -clone adminstrator IUSR_XODU5PTT910NHOO
如圖8所示。

圖8

就是把管理員帳號administrator複製為IUSR_XODU5PTT910NHOO帳號。最後執行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令，修改IUSR_XODU5PTT910NHOO的密碼為n3tl04d。

4.使用AIO複製

AIO(All In One)是WinEggDrop寫的一個把很多小工具功能整合一體的一個“工具”，其中有複製使用者、修改服務的啟動類型、刪除系統賬戶、檢查系統隱藏服務、連接埠掃描和連接埠轉寄等等。

使用AIO複製很簡單，就是: Aio.exe -Clone 正常帳號 要被複製賬戶 密碼
如: Aio.exe -Clone Administrator IUSR_XODU5PTT910NHOO n3tl04d
這樣就可以用IUSR_XODU5PTT910NHOO\n3tl04d作為管理員登入了。
如圖9所示。

圖9

5.使用CA複製

ca.exe 小榕編寫的一個遠程複製帳號工具，當然本地複製也沒問題。
用法如下：ca \\ip地址 管理使用者名 管理員密碼 複製的使用者 密碼
如：ca \\127.0.0.1 administrator 123456 IUSR_XODU5PTT910NHOO 123456
如圖10所示。

圖10

6.建立隱藏帳號

需要使用的工具叫adhider，是錦毛鼠寫的一個專門建立隱藏使用者的工具。此工具有個缺點，那就是當伺服器重啟後，使用者就隱藏不了，會在使用者管理中顯示出來。
用法如下：adhider 使用者名稱 密碼
如：adhider n3tl04d$\123456
如圖11所示。

圖11

建立成功後就可以使用
n3tl04d$\123456登入，得到和管理員權限。

7.使用clone複製

clone是28度的冰寫的一個複製工具，只支援windows2003和windowsxp,不支援windows2000。此工具有個缺點，那就是當伺服器重啟後，使用者就隱藏不了，會在使用者管理中顯示出來。
用法如下：Clone.exe 使用者名稱 密碼
如：clone n3tl04d 520mm
如圖12所示。

圖12

就可以使用n3tl04d\520mm登入，得到和管理員權限。

注意：在Windows 2003下如果使用clone複製後，再使用MT檢查，會提示你沒有系統許可權，此時需要重啟電腦或者運行一個有system許可權的cmd才能使用MT檢查。

當前1/2頁  12下一頁閱讀全文