实现原理
Guest 帐户是一种特殊的用户帐户,通常用于提供有限的系统访问权限,同时限制了用户对系统资源的访问。它通常被用于提供公共或临时访问,例如公共计算机、客人访问或共享资源。
Guest 帐户是Windows系统内置的账户,默认情况下是未启用的。我们可以使用命令启用guest 账户实现权限维持。
实现步骤
该用户是windows 系统自带的游客用户,我们通过以下命令即可启用Guest用户
net user Guest /active:yes执行启用命令之后,我们可以看到如下变化
接下来,我们就可以给guest 账户设置密码,添加管理员权限了。
1、net user guest /active:yes 启用guest用户
2、net user guest 123 设置密码为123
3、net localgroup administrators guest /add 加到管理员组
最后使用guest 账户登录成功
如何排查
方法如下:
1、打开“本地用户和组“,查看Guest 的状态是否已经开启。
2、使用命令查看是否开启:
日志排查
- 打开事件查看器:
-
- 按下 Windows + X 键,然后选择“事件查看器”。
- 在控制面板中,选择“管理工具”,然后选择“事件查看器”。
- 在事件查看器中,展开“Windows 日志”并选择“安全”日志。这是记录与用户帐户相关活动的日志。
- 在右侧的操作面板中,您可以使用筛选器来查找 Guest 帐户的活动。使用以下筛选条件来查找 Guest 帐户的活动:
-
- 在“事件来源”字段中,选择 "Microsoft-Windows-Security-Auditing"。
- 在“操作代码”字段中,选择 "4624"(表示成功登录)或 "4625"(表示登录失败)。
- 在“帐户名称”字段中,输入 "Guest"。
- 这将过滤日志,只显示与 Guest 帐户相关的登录事件。
- 检查筛选后的事件列表,以查看 Guest 帐户的登录尝试、成功或失败的情况。您可以查看事件详细信息,包括时间戳、IP 地址、登录类型等信息。
原文始发于微信公众号(贝雷帽SEC):【Tips+1】Windows持久化之Guest 后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论