簡介

　　前段時間在幫客戶處理一臺服務(wù)器的安全問題時，發(fā)現(xiàn)該服務(wù)器被人遠程***了，并且在系統(tǒng)中加入了隱藏帳戶。可能是***人員的技術(shù)問題，雖然加入了隱藏帳戶卻使得系統(tǒng)的“用戶管理”面板打開異常。為了防止再出現(xiàn)類似的問題，特重新測試了在2003 Server系統(tǒng)下建立及檢測隱藏帳戶的方法。

　　影子賬戶，顧名思義就是隱藏的賬戶，在“控制面板-用戶賬戶”里面是看不見，但卻有管理員權(quán)限的賬戶。

　　整個操作過程已用視頻記錄，如果查看本文仍有不清楚之處，可下載該視頻：http://down.51cto.com/data/142363。

操作方法

查看系統(tǒng)帳戶

　　以正常的管理員用戶進入系統(tǒng)，查看系統(tǒng)中所有帳戶，如下圖所示。可以看到正常情況下操作系統(tǒng)的所有已啟用和禁用的帳戶。

查看注冊表中帳戶的對應關(guān)系

　　系統(tǒng)中賬戶的信息存儲在注冊表HKEY_LOCAL_MACHINE\SAM\SAM鍵中，正常情況下用戶（包括管理員）是無法查看其中的內(nèi)容的。如下圖所示。

　　通過給該鍵值賦予控制權(quán)限，可以使相應帳戶能正常查看該鍵值的內(nèi)容，如下圖所示。其中domains下包括Users鍵值和Names鍵值，其中Names鍵值中的內(nèi)容對應相應的帳戶（如administrator），帳戶下的鍵值(0X1F4)對應Users中的值（000001F4），該值下的F鍵和V鍵代表帳戶及權(quán)限。

增加帳戶

　　在命令行方式下用“net user”命令增加測試用戶，如下圖所示。

導出測試賬戶的注冊表鍵值

　　增加測試賬戶后，在注冊表中找到測試用戶及鍵值并導出該鍵值。如下圖所示。

刪除已建立的測試賬戶

　　刪除系統(tǒng)帳戶后，在“用戶管理”面板中將清除該用戶同時注冊表中的相應鍵值也會一并清除，如下圖所示。

導入注冊表鍵值

　　重導入先前的注冊表鍵值，如下圖所示。該鍵值導入后可在注冊表鍵值中看到該用戶的信息。

恢復注冊表原有權(quán)限

　　用戶賬戶導入后，為了保證效果及系統(tǒng)的正常，重新將注冊表鍵值恢復到初始狀態(tài)，如下圖所示。

將該用戶加入管理員組

　　在命令行方式下將該賬戶加入管理員組，使其具有管理員權(quán)限能進行系統(tǒng)登陸和相應的操作，如下圖所示。

帳戶測試

查看系統(tǒng)用戶

　　用戶添加成功并加入管理員組后，先在控制面板的“用戶管理”中查看所有的用戶，然后使用命令行的方式顯示系統(tǒng)中的所有用戶，同時使用帳戶檢測工具來查看系統(tǒng)中的所有用戶。在對比中會發(fā)現(xiàn)只有檢測工具可以檢測到test$用戶。（該檢測工具將在附件中提供下載）如下圖所示。

使用test$用戶登陸

　　在完成以上的所有操作后，為了測試該用戶是否正常添加，可以使用該用戶登陸系統(tǒng)作檢測，如下圖所示。

?

?

轉(zhuǎn)載于:https://blog.51cto.com/waringid/428111

總結(jié)

以上是生活随笔為你收集整理的2003 Server下隐藏帐号的建立的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。