提个问题,如何在Windows中创建隐藏的用户?
以下文章内容非常简单,就不亲自动手截图了,应急响应的时候可以适当的排查下。其实还有一些方法,但是由于笔者还未亲身体验过,所以不敢写在文章里。
入侵系统后,攻击者会最大限度的隐藏自己,希望在入侵系统上添加或创建用户以用作持久通道。非常常见的是通过net命令添加用户,例如:net user /add randomuser randompassword,运行上面的命令将添加用户,但也可通过net user命令列出该用户。
有一个窍门,是否可以通过net命令隐藏我们的后门用户。答案是肯定的,大多数恶意软件都在积极地使用它。如果在这样的帐户创建过程中附加$符号,例如:net user /add evilbob$ evilpassword,之后通过net user命令查看Evilbob用户是不可见的。
但是这个用户确实是存在的
不过可以通过Windows安全日志事件ID为4720的日志来检测这种情况,注意:此技术仅会抑制来自net user命令的输出结果,但在Windows系统的控制面板中的输出是显而易见的。
https://chaah.awankloud.my/redteaming-tips-creating-a-hidden-user/
原文始发于微信公众号(OnionSec):红队技巧之Windows中的不可见用户
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论