当前位置:  首页  >  服务器技术  >  Linux/unix  >  Linux教程

原创:全身而退-清除windows登陆日志的几个小技巧

清除入侵记录在整个渗透中是极为关键的一步,尤其取得重要服务器的时候。如何全身而退,当然得慎重再慎重。前段时间拿到了一台较为重要的服务器,管理员也算比较精明。而那台服务器至今仍没有丢..嘿嘿。作为一个负责的管理人员,检查系统是否被入侵,肯定

清除入侵记录在整个渗透中是极为关键的一步,尤其取得重要服务器的时候。如何全身而退,当然得慎重再慎重。

前段时间拿到了一台较为重要的服务器,管理员也算比较精明。而那台服务器至今仍没有丢..嘿嘿。

作为一个负责的管理人员,检查系统是否被入侵,肯定会经常查看系统账号,有没有被新建,有没有被改动,是否有登陆记录等等。

如果新建了账号登陆过系统,提醒各位,一定要 去看一下 C:\Documents and Settings/ 目录下 那里有你新建的用户名和操作资料


很容易会被管理员发现。而且你会发现,删除不掉。删除办法呢,这里提供一个,就是安装一个shift后门,退出账号之后重启服务器,打开

shift后门,输入命令explorer 这样浏览C:\Documents and Settings/ 即可删除。因为shift后门此时是以system权限运行。

我一般不新建账号,这样太麻烦。而且有时候就很奇怪的删不掉,极容易暴露自己。下面说说我常用的方法.

执行

net user guest /active:yes //激活guest账户

net localgroup administrators guest /add //添加到管理员组

不能登陆,可能是管理员比较变态,设置了只有添加到远程桌面组才可以。

net localgroup "Remote Desktop Users" guest /add          //这里用""号哦 dos命令下有空格的目录名什么的引一下就可以了。
更变态的是把管理组命令,呵呵。net localgoup 看一下就OK。

这样聪明的管理员用命令net user guest 会看到guest账号最后登陆日期..系统被入侵又暴露无疑。

怎么办呢,网上查资料,关于修改账号最后登陆日期的方法,百度了半天,一无所获。  没办法,自己解决吧。

经过和小三儿共同研究半天,删除重建,修改系统日期之类,都不可以。 啊哈,突然改windows的数据库呀~!!!

哈哈,关键就在这了,这个数据库当然就是注册表了. 账号信息都存在注册表里,大家还记得可以通过复制F键值

克隆administrator 账号不  嘿嘿,同样原理。 下面就是在虚拟机里进行测试,果然 成功~!

我从一个纯静的windows server 2003的注册注册表里导出guest 账号的 names项和 users项。没权限上传,发个外连下载吧。

 

http://www.linuxso.com/uploads/soft/100620/guest_regedit.rar

双击导入注册表,麻烦又出来了。如下图

 
明显是权限问题哈,简单,打开注册表HKEY_LOCAL_MACHINE下的SAM 点右键
 
 

 这样就可以成功导入了。 导入过后,我们来net user guest  一下看看 哈哈。

成功,上次设置密码那个时间,不必担心,刚才装的系统也一样,显示的都是执行这个命令的时间 。 

记得去事件查看器,把安全日志也清空一下哈。

其实依然可以举一反三的,注册表就是windows系统的数据库,很多配置信息什么的都会保存在注册表里。

比如 本地连接远程服务器3389所留的服务器IP记录    SQL SERVER的管理工具连接远程服务器的记录 等等  都在注册表里

ctrl+f 查找服务器的IP. 删除即可。

 

纯属原创,关于此文有任何技术上的疑问,留言在下面。原创文章,谢绝转载。 
 

吐了个 "CAO" !
扫码关注 PHP1 官方微信号
PHP1.CN | 中国最专业的PHP中文社区 | PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | PHP问答
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved PHP1.CN 第一PHP社区 版权所有