牛牛逼逼叉叉
菜单

美版Windows 7 Ultimate SP1 X64绕过开机密码提权

2015年04月07日,分类《网络安全》,作者:
博客捐助

好好好,趁半夜没人,我就演示一下美版Windows 7 Ultimate SP1 X64如何在不修改或者不删除原开机密码的情况下,绕过开机密码并提权到Administrator。

在这里,我只介绍建立后门法这一种,什么PE修改删密啥的就先不要说了。这里我要介绍两种后门,先来第一种后门:Shift粘滞键后门。

首先保证要破解的Win7电脑没有禁用粘滞键,用户安全意识差233。

准备一个USB2.0启动盘并写好你所钟意的PE。

后门法没有什么难度,就是替换下系统文件,把权限弄明白再加敲两行命令行这就够了。我们先验证看看这个机器是否禁用了Shift粘滞键。嗯,看来一切正常Desu。带有开机密码。

460

这个时候重启要破解的机器,插上写好了PE的U盘,进入PE。由于是PE环境下,因而系统盘这里变成了D盘。我们就找到这个目录:D:\windows\system32\。有命令行cmd.exe和我们所需要的sethc.exe粘滞键文件。把这个cmd.exe拷贝一份到别的盘,知道咋弄吧……

123

找到这个目录下的cmd.exe,右键-安全-高级选项-所有者,选择“Administrators(LsaSetupDomain\Administrators)”,点确定,然后再勾选完全控制即可。(有的PE环境并不稳定,可能碰见灰色按钮的情况,建议多刷新几次或者重开试试)。这是cmd文件的权限。改好了看下一步。

1245678

这时候先不要急着把粘滞键sethc.exe替换掉。

还是,按照刚才的方法调整这个sethc文件的权限。右键-安全-高级选项-所有者,选择“Administrators(LsaSetupDomain\Administrators)”,点确定,再勾选完全控制。这是sethc文件的权限。改好了就把复制到其它盘的cmd拷贝重命名为sethc.exe。替换掉system32下的原文件。

替换忘了之后,不要以为这就没事了。还是,检查下刚被替换成cmd了的sethc.exe的文件权限,是否是Administrators(LsaSetupDomain\Administrators)。若不是。则仍按照刚才的方法配置文件权限,检查好了之后。

一切准备就绪,重启机器,拔下U盘。

进入输密码界面之后,只需按5下左Shift键,就可以唤出Cmd界面.如图.之后我们通过强大的Net命令,创建自己要用的账户.敲下”net user abc /add”.意识是添加创建一个叫abc的用户.”net localgroup administrators abc /add”意识是将abc添加进administrators用户组,这就是将我们要用的abc提权到管理员权限~

123123123123

12312414123

我们创建了属于自己的拥有管理员权限用户abc之后,从而可以绕过原先加了密码的用户进入Windows7。这时候重启.再次进入选账户界面。这个时候界面就有两个账户了。我们就选择刚刚创立的用户abc。点击,顺利进入桌面。如图。

asd

bcd

erw

qwe

小结:此后门是替换粘滞键sethc.exe,从而可以在输密码界面前调用cmd,创建新的Administrator账户,达到绕过原加了密的用户的目的。虽然这个方法达到了不影响原用户的情况下,进入桌面的目的,但是缺点也是非常的大的:原本就一个用户,“无缘无故”地多出了一个不认识的账户,从而电脑主人意识到,电脑被盗用

好了。现在介绍第二种后门:osk屏幕键盘键后门。这次不同于粘滞键,也就是说,就算粘滞键被Ban掉了,也不影响这个后门的搭建,因为osk屏幕键盘是进入桌面之前的账号界面–左下角按钮–“轻松访问”下自带的正规的功能,提及恶意利用比较少的地方,所以我们同样可以通过替换相关的系统文件,达到留后门的目的。

同样的,插U盘进入PE环境,我们就找到目录:D:\windows\system32\下的osk.exe文件,这个就是屏幕键盘程序了。我们这次要替换的就是它了。还是,拷贝一份cmd到别的盘,先不要急着替换,按照先前的方法更改cmd.exe权限为“Administrators(LsaSetupDomain\Administrators),完全控制”.

460asdasd

再按照先前的方法更改osk.exe权限为“Administrators(LsaSetupDomain\Administrators),完全控制”。但在这个时候,我们为了保留这个osk屏幕键盘功能,所以还是先将它重命名到别的名字,如osk2.exe,保留了原文件。现在,就将那份拷到别的盘里的cmd.exe重命名为osk.exe,复制进system32下,顶替着原先的osk.exe

6546232

12312423514

一切就绪之后,拔下U盘重启机器吧。进入输密码界面了,之后点左下角的那个按钮,这就是“轻松访问”功能栏。我们就勾选上:“不使用键盘输入(使用屏幕键盘)(Type without the keyboard On-Screen Keyboard)”。这个时它该调用名字为osk.exe这个文件了,现在却是个命令行文件。所以就弹出了cmd窗口。

475674567

tr2ttwerg245

 

同样的。键入之前说过的命令:“net user abc /add”和“net localgroup administrators abc /add”。这时具有Administrator权限的新账户abc已成功创建。关机重启再次回到账户界面,可以看见有我们的新账户abc。

45ntwb2n4wrw

rg2g452gerwhn45

 

到此为止,两种后门全部介绍完了。但是呢,这毕竟是不允许改或删除密码的前提下,偷偷盗用他人电脑的Win7。像第8段所说的,为了绕过密码,创建了这么明晃晃的陌生账号,电脑主人会怎么想?你想被抓个现行么?那有什么办法清除这个新建立的账号呢?那就是怎么通过命令行建立的账,怎么删回去即可。

45ntwb2n4wrw

接下来进入简单的反取证篇,清除痕迹,不留证据。这里以新创建的账户123为例,因为是后来才拍的照片,所以帐户名是123,但道理是一样的。好,怎么清除123账户呢?首先需要将它的权限从Administrator降权到低权限账户,最后再将账户123删掉。相对之前的建立后门,这就是“回滚操作”。

重启进入账户界面,调出cmd窗口,键入命令:“net localgroup administrators 123 /del”。意思是将账户123从administrators用户组移除,取消它的Administrator权限。再输入“net user 123 /del”就是移除账户123了。很简单。完成之后,重启电脑。最后可以发现,账户123已然消失,如图:

16a

16b

16c

 

最后总结:这次介绍了如何在不修改或者不删除原开机密码的情况下,绕过开机密码并提权到Administrator の后门方法,提供了两种后门,思路大体是一样的。到最后的简单反取证,清除证据,也就算完事了。这个问题是一个叫做Maki05的人问的,所以我就试了一下。至于PE法删改密那些,这谁都会。他呢看不见是他的损失

er23r23

r42rwefdsasdf

 

算上这条推。一共19条推文。当然,Windows 7可以留的后门绝不仅2处,当然还有很多呢;技术是一柄双刃剑,技术本身并无正邪之分,这完全取决于使用它的人以及使用它的企图,目的。再见~。(此次只是Win7下的基础攻防而已。根本没什么技术含量。)

 



发表评论

电子邮件地址不会被公开。 必填项已用*标注

【上一篇】

设置iSCSI的发起程序(客户端)(三)

【下一篇】

使用ramlog将日志文件转移到内存中