网络渗透与深度防御-Windows2003账户克隆+后门

已禁用的账户登录

当一个员工离职账户的处理方式：禁用账户--->改密码--->撤销所有的逻辑访问权限

这样处理是为了需要对该账户进行审计，尤其是防止windows用户使用EFS加密后的数据不能解密的问题

使用已经禁用的guest账户进行登录

1.改guest账户的密码:net user guest xxx

2.打开注册表：regedit.exe-->machine-->SAM-->SAM,右击第二个SAM，选择权限，然后赋予administrator组完全控制的权限，然后确定，关闭注册表。
3.再次打开注册表：regedit.exe-->machine-->SAM-->SAM-->domain-->account-->users:其中1f4表示的是administrator，1f5表示的是guest，将1f4中的f值复制到1f5中，然后guest账户就可以正常登录了（在本地账户管理中查看guest账户仍旧是禁用状态，但是此时guest已经借用administrator账户身份进行登录了）

4.如何发现该账户？可以在审核策略里面将审核登录事件和审核账户登录事件的成功和失败都进行勾选，这样就可以在日志里看到当前是哪个账户在进行登录了。
利用Windows2003的shift键设置后门

1. 按5次shift键会启动粘滞键，粘滞键的程序命sethc.exe,可以将该程序替换成cmd.exe或者explorer.exe。(windows自身有一个WFP策略，也就是文件保护策略，一般将notepad.exe等程序删除后在很短的时间内就会自动恢复，所以要更改sethc.exe，首先要阻断源头)
   
2. Windows中有一个目录，备份一些Windows常用的自身程序，该目录在C:\windows\system32\dllcache,可以使用attrib -s -r -h sethc.exe去掉sethc.exe的隐藏属性，然后使用rename sethc.exe ~.*,该命令是为了防止该程序运行。
   
3. cd c:\windows\system32 --> arrrib -s -r -h sethc.exe --> copy cmd.exe sethc.exe ,然后按5次shift，可以进入cmd界面，然后就可以使用cmd命令进行随意操作,可以加用户，可以提权，也可以输入explorer.exe命令进入桌面
   
4. 防御：cd c:\windows\system32 --> cacls sethc.exe /p everyone:n,该命令的意思是禁止任何用户进行权限修改。