文章作者：a11yesno
信息來(lái)源：邪惡八進(jìn)制信息安全團(tuán)隊(duì)（www.eviloctal.com）

漏洞發(fā)現(xiàn)日期 05年某月

注：因?yàn)樽罱鼪](méi)怎么關(guān)注網(wǎng)絡(luò)安全 憑記憶中貌似沒(méi)人說(shuō)過(guò)這個(gè)方法 所以放出來(lái) 不要拍磚我 thx！

原理很簡(jiǎn)單的啊 sam的 FV鍵值吧 重點(diǎn)如何躲過(guò)檢測(cè)
一般的檢測(cè)克隆帳號(hào)的都是檢測(cè) sam里面有沒(méi)有相同的 FV吧 利用這個(gè)特性繞過(guò)檢測(cè)吧 呵呵

步驟

1.net user allyesno freexploit /add&net localgroup administrators allyesno /add
2.clone allyesno->guest
3.delete allyesno sam FV （呵呵，這樣就完成啦）

如此以來(lái)常規(guī)的檢測(cè)工具就無(wú)法檢測(cè)拉 嘎嘎。。

另外kaka提過(guò)一旦登錄帳號(hào)就會(huì)生成文件的問(wèn)題 這個(gè)可以在注冊(cè)表里面修改用戶生成文件路徑 以及加其他工具輔助隱藏

測(cè)試環(huán)境當(dāng)時(shí)為 xp sp2&2003 sp1不知道微軟現(xiàn)在是否補(bǔ)了 不知道Vista是否可以使用

可以加我QQ討論一下 138888318 驗(yàn)證：很好，很和諧

thx:當(dāng)時(shí)在0x577 irc里幫忙測(cè)試的一些人 例如kaka luoluo等等（太久了其他人記不得了）
ps:嘆，已經(jīng)被邊緣化了 T_T.....



一些補(bǔ)充：

刪除注冊(cè)表的相關(guān)信息和用net user xxx /delete 這樣刪除是不同的

我建立了用戶allyesno 然后把 guest 克隆成allyesno
allyesno 和 guest都通過(guò)注冊(cè)表 指向sam文件里面的用戶信息
windows系統(tǒng)認(rèn)證用戶的啟動(dòng)方式 是 首先在注冊(cè)表查詢相關(guān)的 用戶名稱（sam里面） 然后在sam文件里面讀取相應(yīng)的信息啟動(dòng)

如果使用net user allyesno /delete 這樣的命令 那么sam注冊(cè)表 以及sam文件的用戶信息都會(huì)被刪除
而guest指向的 sam文件里面的allyesno用戶信息被刪除了 guest自然就不會(huì)成功登錄了

相反 僅僅將注冊(cè)表里面 allyesno的用戶信息全部刪除 但是sam文件里面仍然保留著allyesno的信息 所以guest是可以成功登錄的

好長(zhǎng)一段 

最新評(píng)論