【原理基礎】

　　克隆帳號的原理簡單的說是這樣：在注冊表中有兩處保存了帳號的SID相對標志符,一處是SAM\Domains\Account\Users下的子鍵名，另一處是該子鍵的子項F的值中。這里微軟犯了個不同步它們的錯誤，登陸時用的是后者，查詢時用的是前者。當用admin的F項覆蓋其他帳號的F項后，就造成了帳號是管理員權限但查詢還是原來狀態(tài)的情況。即所謂的克隆帳號。

　　注：ca和cca需要目標開放ipc$，請確認可以與目標建立ipc$。

　　ca.exe 是一個基于windows系統(tǒng)的遠程克隆賬號工具。

　　cca.exe 檢查系統(tǒng)是否有克隆賬號。psexec是一個遠程執(zhí)行工具，你可以像使用telnet一樣使用它。

　　【實驗環(huán)境】

　　工作平臺：Windows XP操作系統(tǒng)

　　服務平臺：Virtual PC Windows 2003

　　輔助平臺：Virtual PC Windows XP（遠程測試）

　　軟件：ca.exe（下載地址：http://www.sans.org.cn/Soft/294.html ）

　　cca.exe （下載地址：http://www.sans.org.cn/Soft/295.html ）

　　psexec.exe（下載地址：http://www.sans.org.cn/Soft/296.html ）

　　【跟我操作】

　　下載并運行所用的軟件。CA和CCA及psexec都是在命令行下運行的工具，需要通過“開始”->“運行”輸入“CMD”切換到其目錄才可以運行。

　　CA克隆帳號

　　1、首先需要獲取遠程主機/服務器的管理員權限，假設我們已得到目標主機的管理權限，目標主機的用戶名為：Administrator，密碼為：123456

　　2、在MS-DOS中鍵入命令：ca \\192.168.0.230 Administrator “123456” guest 123456

　　該命令表示IP地址為 192.168.0.230的遠程主機中，將guest賬號克隆成管理員權限的賬號,克隆后的guest帳戶密碼為123456如圖1所示：

　　

　　圖1 進行帳號克隆

　　當命令執(zhí)行后，如果得到類似下圖中的回顯，則說明克隆賬號成功。從回顯中我們還可以得知克隆賬號的處理過程如圖2所示：

　　

　　圖2 帳號克隆過程

　　為了讓“后門賬號”更加隱蔽。不會被管理員輕易發(fā)現(xiàn)，還需要把該Guest賬號禁用，這樣一來，便可以在以后的入侵過程中使用該被進制的Guest賬號實現(xiàn)遠程控制了。過程：首先在本地MS-DOS中鍵入“psexec \\192.168.0.230 –u Administrator –p “123456” cmd.exe”獲得遠程主機的命令行，然后在得到的命令行中鍵入net user guest /active:no命令來禁用Guest賬號過程如圖3所示：

　　

　　圖3 禁用guest帳號

　　使用CCA查看帳號是否被克隆

　　在上面的步驟中已經(jīng)成功的把Administrator的權限成功的克隆到了Guest賬號上了，下面就來驗證這一克隆賬號的結果，我們使用與CA配套的工具CCA來驗證。過程如下：

　　在MS-DOS中鍵入：cca \\192.168.0.230 Administrator 123456 命令查看遠程主機192.168.0.230上的Administrator賬號是否被克隆，輸入后按回車鍵執(zhí)行，如圖4所示：

　　

　　圖4 使用CCA查看帳號是否被克隆

　　從上圖回顯中[Guest] AS SAME AS [Administrator]可知Administrator賬號已經(jīng)被Guest克隆。

　　為了進一步說明后門賬號已經(jīng)克隆成功，下面通過psexec.exe來驗證Gues賬號是否具有管理員權限，在MS-DOS中鍵入命令：psexec \\192.168.0.230 –u guest –p 123456 cmd.exe 后回車執(zhí)行。成功獲得遠程主機/服務器的命令行如圖：

　　

　　圖5 檢測guest帳號的可用性

　　由此可見該被禁用的Guest賬號可以用來實現(xiàn)遠程登陸。這樣我們就成功的完成了用戶賬戶的克隆，而且，與原正好具有相同的權限?！　?

最新評論