文章作者：a11yesno
信息來源：邪惡八進制信息安全團隊（www.eviloctal.com）

漏洞發(fā)現(xiàn)日期 05年某月

注：因為最近沒怎么關注網(wǎng)絡安全 憑記憶中貌似沒人說過這個方法 所以放出來 不要拍磚我 thx！

原理很簡單的啊 sam的 FV鍵值吧 重點如何躲過檢測
一般的檢測克隆帳號的都是檢測 sam里面有沒有相同的 FV吧 利用這個特性繞過檢測吧 呵呵

步驟

1.net user allyesno freexploit /add&net localgroup administrators allyesno /add
2.clone allyesno->guest
3.delete allyesno sam FV （呵呵，這樣就完成啦）

如此以來常規(guī)的檢測工具就無法檢測拉 嘎嘎。。

另外kaka提過一旦登錄帳號就會生成文件的問題 這個可以在注冊表里面修改用戶生成文件路徑 以及加其他工具輔助隱藏

測試環(huán)境當時為 xp sp2&2003 sp1不知道微軟現(xiàn)在是否補了 不知道Vista是否可以使用

可以加我QQ討論一下 138888318 驗證：很好，很和諧

thx:當時在0x577 irc里幫忙測試的一些人 例如kaka luoluo等等（太久了其他人記不得了）
ps:嘆，已經(jīng)被邊緣化了 T_T.....



一些補充：

刪除注冊表的相關信息和用net user xxx /delete 這樣刪除是不同的

我建立了用戶allyesno 然后把 guest 克隆成allyesno
allyesno 和 guest都通過注冊表 指向sam文件里面的用戶信息
windows系統(tǒng)認證用戶的啟動方式 是 首先在注冊表查詢相關的 用戶名稱（sam里面） 然后在sam文件里面讀取相應的信息啟動

如果使用net user allyesno /delete 這樣的命令 那么sam注冊表 以及sam文件的用戶信息都會被刪除
而guest指向的 sam文件里面的allyesno用戶信息被刪除了 guest自然就不會成功登錄了

相反 僅僅將注冊表里面 allyesno的用戶信息全部刪除 但是sam文件里面仍然保留著allyesno的信息 所以guest是可以成功登錄的

好長一段 

最新評論