隨著電腦技術(shù)的發(fā)展和電腦的普及，還有大大小小的“駭客”網(wǎng)站和越來越簡(jiǎn)單的工具，使得目前攻擊變得日趨頻繁，被植入木馬的電腦或服務(wù)器也越來越多，與此同時(shí)系統(tǒng)管理員的安全意識(shí)也在不斷提高，加上殺毒軟件的發(fā)展，網(wǎng)絡(luò)木馬的生命周期也越來越短，所以攻擊者在獲取了服務(wù)器的控制權(quán)限后，一般使用克隆用戶或者安裝SHIFT后門達(dá)到隱藏自己的目的，下面就由我給大家介紹一些常見的克隆用戶和檢查是否存在克隆用戶及清除的方法。

一、克隆賬號(hào)的原理與危害

1.克隆賬號(hào)的原理

在注冊(cè)表中有兩處保存了賬號(hào)的SID相對(duì)標(biāo)志符，一處是注冊(cè)表HKEY_LOCAL_MACHINE\SAM\AMDomains\AccountUsers 下的子鍵名，另一處是該子鍵的子項(xiàng)F的值。但微軟犯了個(gè)不同步它們的錯(cuò)誤，登錄時(shí)用的是后者，查詢時(shí)用前者。當(dāng)用Administrator的F項(xiàng)覆蓋其他賬號(hào)的F項(xiàng)后，就造成了賬號(hào)是管理員權(quán)限，但查詢還是原來狀態(tài)的情況，這就是所謂的克隆賬號(hào)。

安全小知識(shí)：SID也就是安全標(biāo)識(shí)符（Security Identifiers），是標(biāo)識(shí)用戶、組和計(jì)算機(jī)賬戶的唯一的號(hào)碼。在第一次創(chuàng)建該賬戶時(shí)，將給網(wǎng)絡(luò)上的每一個(gè)賬戶發(fā)布一個(gè)唯一的 SID。Windows 2000 中的內(nèi)部進(jìn)程將引用賬戶的 SID 而不是賬戶的用戶或組名。如果創(chuàng)建賬戶，再刪除賬戶，然后使用相同的用戶名創(chuàng)建另一個(gè)賬戶，則新賬戶將不具有授權(quán)給前一個(gè)賬戶的權(quán)力或權(quán)限，原因是該賬戶具有不同的 SID 號(hào)。

2. 克隆賬號(hào)的危害

當(dāng)系統(tǒng)用戶一旦被克隆，配合終端服務(wù)，就等于向攻擊者開啟了一扇隱蔽的后門，讓攻擊者可以隨時(shí)進(jìn)入你的系統(tǒng)，這一扇門你看不到,因?yàn)樗揽康氖俏④浀慕K端服務(wù)，并沒有釋放病毒文件，所以也不會(huì)被殺毒軟件所查殺。

二、克隆用戶的常用方法

1.手工克隆方法一

在Windows 2000/xp/2003和Windows NT里，默認(rèn)管理員賬號(hào)的SID是固定的500（0x1f4），那么我們可以用機(jī)器里已經(jīng)存在的一個(gè)賬號(hào)將SID為500的賬號(hào)進(jìn)行克隆，在這里我們選擇的賬號(hào)是IUSR_XODU5PTT910NHOO（XODU5PTT910NHOO為已被攻陷的服務(wù)器機(jī)器名。為了加強(qiáng)隱蔽性，我們選擇了這個(gè)賬號(hào)，所有用戶都可以用以下的方法，只不過這個(gè)用戶較常見罷了）

我們這里要用到的一個(gè)工具是PsExec，一個(gè)輕型的 telnet 替代工具，它使您無需手動(dòng)安裝客戶端軟件即可執(zhí)行其他系統(tǒng)上的進(jìn)程，并且可以獲得與控制臺(tái)應(yīng)用程序相當(dāng)?shù)耐耆换バ?。PsExec 最強(qiáng)大的功能之一是在遠(yuǎn)程系統(tǒng)和遠(yuǎn)程支持工具（如 IpConfig）中啟動(dòng)交互式命令提示窗口，以便顯示無法通過其他方式顯示的有關(guān)遠(yuǎn)程系統(tǒng)的信息。
執(zhí)行：psexec -i -s -d cmd運(yùn)行一個(gè)System的CMD Shell，如圖1所示。

圖1

得到一個(gè)有system權(quán)限的cmd shell，然后在該CMD Shell里面運(yùn)行“regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4”，這樣我們將SID為500（0x1f4）的管理員賬號(hào)的相關(guān)信息導(dǎo)出，如圖2所示。

圖2

然后編輯admin.reg文件，將admin.reg文件的第三行HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4中的“1F4”修改為IUSR_XODU5PTT910NHOO的SID，將文件中的“1F4”修改為“3EB”，如圖3所示。

圖3

保存之后，然后執(zhí)行如下命令：“regedit /s admin.reg”，導(dǎo)入該admin.reg文件，最后執(zhí)行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令，修改IUSR_XODU5PTT910NHOO的密碼為n3tl04d。這里建議最好使用14位的密碼，也就是說越像 IUSR_XODU5PTT910NHOO的密碼越好，現(xiàn)在，就可以使用IUSR_XODU5PTT910NHOO密碼為n3tl04d遠(yuǎn)程登錄了，和管理員一樣的配置環(huán)境！如圖4所示。

圖4

注意：大部份機(jī)器里IUSR_MACHINE用戶的SID都為0x3E9（如果機(jī)器在最初安裝的時(shí)候沒有安裝IIS，而是自己創(chuàng)建了賬號(hào)后再安裝IIS就有可能不是這個(gè)值了），如果不確定，可以使用：
“regedit /e sid.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\IUSR_MACHINE”命令先導(dǎo)出注冊(cè)表，然后編輯sid.reg文件，就可以看到SID為“3EB”，如圖5所示。

圖5

2.手工克隆方法二

另外一種克隆賬戶的方法是：首先運(yùn)行regedt32.exe，展開注冊(cè)表到HKEY_LOCAL_MACHINE\SAM\SAM，然后點(diǎn)菜單欄的“編輯”→“權(quán)限”（Windows 2000是菜單欄的“安全”→“權(quán)限”），會(huì)彈出“SAM的權(quán)限”窗口，點(diǎn)擊Administrators，在該窗口中勾選允許完全控制，(Windows 2000是在該窗口中勾選“允許將來自父系的可繼承權(quán)限傳播給該對(duì)象”)然后點(diǎn)擊“確定”按鈕。如圖6所示。

圖6

再找到HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00001F4，雙擊右邊窗口中的“F”項(xiàng)，如圖7所示。

圖7

選取全部?jī)?nèi)容，然后點(diǎn)擊鼠標(biāo)右鍵選“復(fù)制”，再打開HKEY_LOCAL_MACHINE\SAM\SAM\DomainsAccount\Users\00003EB下的F項(xiàng)，將剛才復(fù)制的內(nèi)容粘貼進(jìn)去，這樣我們就將IUSR_XODU5PTT910NHOO賬號(hào)克隆成了管理員，再將剛才SAM目錄的權(quán)限給刪掉，以免被人發(fā)現(xiàn)。

3.使用mt克隆

mt.exe是一款非常強(qiáng)大的網(wǎng)絡(luò)工具，它主要以命令行方式執(zhí)行，可以開啟系統(tǒng)服務(wù)，檢查用戶以及直接顯示用戶登陸密碼等。它就象一把雙刃劍，入侵者和系統(tǒng)管理員都要使用它，但由于常被入侵者使用，所以被很多殺毒軟件列為病毒。
關(guān)于MT的詳細(xì)測(cè)試報(bào)告可以到http://www.antian365.com/bbs/viewthread.php?tid=2786&extra=page%3D1&frombbs=1了解。克隆用戶的用法如下：
mt -clone
如：mt -clone adminstrator IUSR_XODU5PTT910NHOO
如圖8所示。

圖8

就是把管理員賬號(hào)administrator克隆為IUSR_XODU5PTT910NHOO賬號(hào)。最后執(zhí)行“net user IUSR_XODU5PTT910NHOO n3tl04d”命令，修改IUSR_XODU5PTT910NHOO的密碼為n3tl04d。

4.使用AIO克隆

AIO(All In One)是WinEggDrop寫的一個(gè)把很多小工具功能集成一體的一個(gè)“工具”，其中有克隆用戶、修改服務(wù)的啟動(dòng)類型、刪除系統(tǒng)賬戶、檢查系統(tǒng)隱藏服務(wù)、端口掃描和端口轉(zhuǎn)發(fā)等等。

使用AIO克隆很簡(jiǎn)單，就是: Aio.exe -Clone 正常賬號(hào) 要被克隆賬戶 密碼
如: Aio.exe -Clone Administrator IUSR_XODU5PTT910NHOO n3tl04d
這樣就可以用IUSR_XODU5PTT910NHOO\n3tl04d作為管理員登錄了。
如圖9所示。

圖9

5.使用CA克隆

ca.exe 小榕編寫的一個(gè)遠(yuǎn)程克隆賬號(hào)工具，當(dāng)然本地克隆也沒問題。
用法如下：ca \\ip地址 管理員用戶名 管理員密碼 克隆的用戶 密碼
如：ca \\127.0.0.1 administrator 123456 IUSR_XODU5PTT910NHOO 123456
如圖10所示。

圖10

6.建立隱藏賬號(hào)

需要使用的工具叫adhider，是錦毛鼠寫的一個(gè)專門建立隱藏用戶的工具。此工具有個(gè)缺點(diǎn)，那就是當(dāng)服務(wù)器重啟后，用戶就隱藏不了，會(huì)在用戶管理中顯示出來。
用法如下：adhider 用戶名 密碼
如：adhider n3tl04d$\123456
如圖11所示。

圖11

創(chuàng)建成功后就可以使用
n3tl04d$\123456登錄，得到和管理員權(quán)限。

7.使用clone克隆

clone是28度的冰寫的一個(gè)克隆工具，只支持windows2003和windowsxp,不支持windows2000。此工具有個(gè)缺點(diǎn)，那就是當(dāng)服務(wù)器重啟后，用戶就隱藏不了，會(huì)在用戶管理中顯示出來。
用法如下：Clone.exe 用戶名 密碼
如：clone n3tl04d 520mm
如圖12所示。

圖12

就可以使用n3tl04d\520mm登錄，得到和管理員權(quán)限。

注意：在Windows 2003下如果使用clone克隆后，再使用MT檢查，會(huì)提示你沒有系統(tǒng)權(quán)限，此時(shí)需要重啟電腦或者運(yùn)行一個(gè)有system權(quán)限的cmd才能使用MT檢查。

最新評(píng)論