如何绕过Windows Server 2008 R2上的身份验证

在本文中,我们将了解在Windows Server 2008 R2安装上绕过身份验证和重置管理员密码是多么容易。此技术要求我们对运行Windows服务器的计算机进行物理访问,或者在Windows Server 2008 R2运行虚拟化时访问虚拟机管理程序的管理界面。这不是一个很好的“黑客”技术,可以用于pwn所有Windows安装,但它更像是一个系统管理员最后的手段技巧,当没有其他工作在忘记密码。在其他一些情况下,它绝对有用,并在您需要时派上用场。特别是在您破坏管理程序软件的管理面板时。这种访问允许您控制虚拟机,就像您有物理访问它一样,包括使用启动盘和修改系统文件的能力。或者,您可以在对主机进行某种物理访问时应用此技术。

几个月前,我正在对运行在VMware虚拟机管理程序上的分阶段Windows环境进行渗透测试。该环境包含域控制器和运行Windows Server 2008 R2的3个应用程序服务器。除了Windows机器,我还遇到了一些基于Linux的网络和备份设备。由于在此网络上破坏机器并不是很困难,因此我可以在渗透测试的早期阶段以管理员身份访问VMware vSphere管理面板。此访问级别允许我使用启动CD重置管理员密码,最后使用管理员权限登录到Windows Server。在下面的部分中,我将解释如何执行此操作以及如何保护Windows安装不应用此技术。

重置Windows Server 2008 R2上的管理员密码

本教程的出发点是使用启动CD启动的Windows Server 2008 R2 Enterprise计算机。在此示例中,我们使用了Hiren启动CD(HBCD),但您也可以使用任何其他启动CD,包括Windows安装盘。从引导CD引导系统后,导航到包含Windows Server 2008 R2安装的驱动器的以下目录:

/在Windows / System32下

在此目录中,您将找到名为“Utilman.exe”的可执行文件。Utilman是一个小实用程序,用于配置可访问性选项,如放大镜和屏幕键盘。Utilman.exe的特别之处在于我们能够在登录系统之前执行该程序。我们可以通过单击Windows登录菜单左下角的小“辅助功能”按钮来完成此操作:

现在我们可以访问/ Windows / System32目录,我们可以使用cmd.exe程序替换Utilman.exe程序。当我们交换这些应用程序时,我们可以在登录屏幕中按下辅助功能按钮时使用系统权限而不是Utilman.exe启动cmd.exe。从这一点开始,我们可以重置管理员密码并使用它来登录。

首先,我们将Utilman.exe程序重命名为Utilman.exe.old,如下所示:

将Utilman.exe重命名为Utilman.exe.old

下一步是将cmd.exe重命名为Utilman.exe,如下所示:

将cmd.exe重命名为Utilman.exe。您也可以复制cmd.exe并重命名,以便在登录Windows后仍然可以使用cmd.exe。

现在我们已经将Utilman.exe与cmd.exe交换,我们只需要将机器重新启动到Windows并单击登录屏幕上的辅助功能按钮。正如预期的那样,这将启动命令行而不是辅助功能选项:

Utilman.exe为cmd.exe

下一步是更改管理员密码,如下所示:

更改管理员密码。

最后,我们可以使用新的管理员凭据登录Windows:

Windows Server 2008 R2 Enterprise使用新的管理员凭据登录。

结果

在本文中,我们已经看到在我们破坏虚拟机管理程序之后获得管理员访问Windows Server 2008 R2 Enterprise主机的难易程度。事实上,我们能够使用启动CD启动计算机,允许我们篡改硬盘驱动器上的数据,这是一个严重的安全问题,会带来严重后果。有几种方法可以预防和缓解这类攻击。其中之一是使用密码保护BIOS,以便攻击者无法更改计算机的启动选项,从而无法从启动CD启动。更有效的方法是应用全磁盘加密,加密磁盘上的所有数据,防止攻击者篡改它。

我希望你发现这个小教程在某些方面很有用。如果您正在尝试使用此技术或在Windows Server 2008计算机上练习渗透测试技术,我建议您安装基于Windows Server 2008的Metasploitable 3。

版权声明

本文仅代表作者观点,不代表黑白网立场。 如文章侵犯了您的权利,请通过邮箱联系我们删除 E-Mail:server@heibai.org 黑白网官群:238921584

原文链接:http://www.heibai.org/post/599.html

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏艾斯博客www.vpsss.net

百度熊掌号 API 资源 php 主动推送提交教程

百度熊掌号是现在很热门的平台,广大站长纷纷加入熊掌号的队列中。前面写了WordPress 百度熊掌号自动推送插件安装使用教程,如果是网站运行很久了才加入,会有很...

1.1K2
来自专栏ThoughtWorks

应用敏感信息的6个配置原则|洞见

无论是微服务还是单体应用,往往都会用到很多配置信息。在众多的配置信息中,有一类非常敏感,例如数据库账号密码、API Key、Service Account等。由...

2986
来自专栏区块链

如何在登录界面获取 shell?

信息安全公益宣传,信息安全知识启蒙。 教程列表见微信公众号底部菜单 ? Inception Inception是由Carsten Maartmann-Moe开发...

23010
来自专栏喵了个咪的博客空间

3.请求安全-- 如何验证请求的唯一性

#如何验证请求的唯一性# ##前言## 讲到请求的唯一性,是我在接口API中开发中遇到的一个问题,有一个需求就当当你的链接被捕获之后如何让它失效,当然是在别人没...

4856
来自专栏叔叔的博客

记录SpringCloud使用的一些问题

一、服务下线延迟问题 这个虽然是为了更好的高可用,但是下线服务依然存留很长一段时间(默认下最长有2分钟),不利于集群环境部署。 解决办法: 去除保护机制,修改默...

6768
来自专栏漏斗社区

斗哥说|phpcms_v9.6.0 任意文件上传漏洞复现!

前言 在开启严肃认真的知识分享前,斗哥跟大家说一件严肃的事儿!本周日是一年一度的母亲节!无论你身处他乡还是奔波忙碌,别忘了给亲爱的母上大人送上节日的祝福,家永远...

5248
来自专栏网站漏洞修补

网站快照被劫持 快速恢复快照的解决办法

哥们的网站流量突然下降的很厉害,从原先一天500左右的IP,直接下降到80左右的IP,让我帮忙看看,网站到底哪里出了问题,首先我用百度的site:下网站的收录量...

3581
来自专栏马洪彪

spss C# 二次开发 学习笔记(四)——Spss授权

Spss的授权方式有两种,单机版和网络版。 Spss的激活,在联网的情况下,通过20位的激活码激活,在未联网的情况下,Spss根据机器获取一个类似4-XXXX的...

3809
来自专栏FreeBuf

运维安全 | 等保视角下的SSH加固之旅

前段时间在搞等保,根据等保的安全要求,需要对公司的服务器进行安全加固,其中就涉及到对SSH Server的加固。正好最近有空,笔者将加固过程的一些经验,总结分享...

3153
来自专栏杨龙飞前端

业务代码重构

刚拿到这个产品的代码时,我也是一头雾水,动就上千行的逻辑代码,看的让人很费劲,完全没有任何套路可言,一撸到底的代码,拿到后,我就先把代码拆开,一块一块的看

1563

扫码关注云+社区

领取腾讯云代金券