|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『楼 主』:
[已结]很有挑战的任务:用批处理检测克隆账户
使用 LLM 解释/回答一下
用批处理检测克隆账户!
允许使用第三方软件,不过最好不用!
Last edited by HAT on 2008-11-15 at 10:10 ]
|
|
 2007-8-30 02:28 |
|
|
slore
铂金会员
积分 5212
发帖 2478
注册 2007-2-8
状态 离线
|
|
|
2007-8-30 10:33 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第 3 楼』:
使用 LLM 解释/回答一下
Originally posted by slore at 2007-8-30 10:33 AM:
克隆账户?
是啊,是一个隐藏的账户,很难发现,但可以拥有管理员权限。
|
|
|
2007-8-30 13:46 |
|
|
yishanju
银牌会员
[b]看你妹啊[/b]
积分 1488
发帖 1357
注册 2006-5-20
状态 离线
|
|
|
2007-8-30 13:59 |
|
|
my3439955
中级用户
积分 272
发帖 99
注册 2006-6-2
状态 离线
|
『第 5 楼』:
使用 LLM 解释/回答一下
检查"C:\Documents and Settings"下的目录是一个办法,但是如果创建的用户还没有登陆过,那么将不会有任何对应的目录
我想是不是可以使用这样一个办法,对于新创建的帐户abcd$,使用Net user命令查看不到这个帐户,我们可以到它所在的组中去找寻.用net localgroup命令可以列举出所有的组.选择一个组,例如users,使用命令net localgroup users将显示出组中的所有帐户,无论隐藏与否.如果abcd$在这里面,那么它就现身了.
一个帐户总回属于一个组,我们枚举了所有的组,就可以得到所有的帐户.
|
X5O!P%@AP |
|
|
2007-8-30 15:19 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第 6 楼』:
使用 LLM 解释/回答一下
这对隐藏帐户应该有用,不过对克隆帐户不一定有用啊。克隆帐户本身是不存在的,只有在注册表中能看出稍许。不过用SetACL工具无法获得HKLM\SAM\SAM键的权限啊!
|
|
|
2007-8-30 15:41 |
|
|
slore
铂金会员
积分 5212
发帖 2478
注册 2007-2-8
状态 离线
|
|
|
2007-8-30 18:42 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第 8 楼』:
使用 LLM 解释/回答一下
经过试验已确定C:\Documents and Settings下是没有克隆账户的文件夹的,理论上应该用的就是管理员账户的配置文件。而且用net user和net localgroup administrators命令都无法发现这个账户,组策略里也没有这个账户,隐蔽性一流啊!!
|
|
|
2007-8-30 20:39 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第 9 楼』:
使用 LLM 解释/回答一下
Originally posted by slore at 2007-8-30 06:42 PM:
呵呵,克隆账户还是第一次听。自己的电脑就自己一个用户,不了解它,所以帮不上。
你认为只有你一个账户,搞不好还有一个克隆账户哦,按现在的情况看在不使用第三方图形界面工具的情况下,注册表是唯一能发现隐藏账户的方法,你怎么知道你没有呢?;)
|
|
|
2007-8-30 20:41 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
『第 10 楼』:
使用 LLM 解释/回答一下
我说一下我的方法,用mt生成一个system权限的命令行,system权限是可以读取SAM键值的,然后判断。这个方法理论上可行,不过mt被大多数杀毒软件列为病毒,在装有杀毒软件的电脑上无法运行啊。不知道有没有其他的可以提权到system权限又不会被杀毒软件干掉的命令行工具啊?
|
|
|
2007-8-30 20:46 |
|
|
HAT
版主
积分 9023
发帖 5017
注册 2007-5-31
状态 离线
|
『第 11 楼』:
使用 LLM 解释/回答一下
@echo off
rem 假设现在的系统时间是13:16
rem 运行下面的命令可以在两分钟后获得一个具有system权限的shell
at 13:18 /interactive %systemroot%\system32\cmd.exe
Last edited by HAT on 2007-8-30 at 09:39 PM ]
|
|
|
2007-8-30 21:36 |
|
|
slore
铂金会员
积分 5212
发帖 2478
注册 2007-2-8
状态 离线
|
『第 12 楼』:
使用 LLM 解释/回答一下
Originally posted by fonlan at 2007-8-30 20:41:
你认为只有你一个账户,搞不好还有一个克隆账户哦,按现在的情况看在不使用第三方图形界面工具的情况下,注册表是唯一能发现隐藏账户的方法,你怎么知道你没有呢?;)
呵呵~直觉+经验……恩,网上查了如何创建……发现原来我还真只有1个用户嗬~
不用cmd
直接at 那个启动regedit就可以看sam了
|
|
|
2007-8-30 21:51 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
|
|
2007-8-30 23:00 |
|
|
fonlan
初级用户
积分 58
发帖 27
注册 2007-7-27
状态 离线
|
|
|
2007-8-31 15:16 |
|
|
slore
铂金会员
积分 5212
发帖 2478
注册 2007-2-8
状态 离线
|
|
|
2007-8-31 18:39 |
|
