前言

  前段时间写过一篇关于2003 SERVER下克隆帐户设置及检测的文章(2003 Server下隐藏帐号的建立http://waringid.blog.51cto.com/65148/428111)。随后发现用这种方法存在一个很大的问题:当系统重新启动后开始建立已隐藏的帐户会重新出现在“用户管理”控制页中。

  在实际的例子中发现很多情况下******服务器不会采取直接新建隐藏用户的方法而是利用服务器的一些特性(如IIS服务器会自动增加IWAM及IUSR,一般来说iusr为IIS来宾,iwam为IIS进程启动帐号。当然您也可以按照您的习惯来做后缀区分两个帐号方便以后使用及管理。这两个帐户分别属于不同的组IIS_WPG 组(也称为 IIS 工作进程组,IIS Worker Process Group)及Guests组 (来宾组,在系统中拥有最少的权限))将默认的系统服务帐户(如IUSR)提升为管理员组使其具有管理员权限,同时也使***更具有隐蔽性。

  本文在上一篇文章的基础上重新以实际的例子演示了利用mt.exe及aio.exe工具将IUSR帐户权限提升为管理员而且通过上次的lp_pt.exe工具也检测不到异常。

操作步骤

查看系统用户

  在安装IIS前查看系统用户。正常的服务器一般都会有相应的服务,服务增加了其功能同时也增加了系统的风险。在未装IIS之前系统用户中是不会存在IUSR及IWAM这两个用户的,如下图所示。

截图04

安装IIS服务

  通过系统的“添加/删除程序”的方式来安装系统的IIS服务,安装完成后再次查看系统用户时会发现已自动增加了两个用户,如下图所示。

截图05

截图00

截图01

更改组策略

  为了加强演示效果,在系统的组策略中加入禁止来宾用户登录本地系统的规则,这样来宾用户组的用户是无法登录系统的,登录时会有相关的提示。如下图所示。

截图06

截图07

用mt工具克隆管理员帐户

  使用MT工具来克隆管理员帐户,命令“mt.exe –clone administrato iusr_win2003”执行这样的命令后,IUSR用户在用户管理面板中显示的是来宾用户但实际却具有管理员用户权限,可以执行本地登录。如下图所示。

截图08

截图09

帐户测试

用户登录测试

  登录系统后,可以通过运行“用户管理”来启用或停用系统中原有用户,同时查看“documnets and settings”不会发现有新增加的用户登陆信息。如下图所示。

截图10

截图11

重启系统检测

  之前的方法在操作系统重启后新增加的用户会出现在“用户管理”面板中,而采用该方法可以确保不会出现之前的问题。同时使用上次的LP_check也发现不到异常之处。如下图所示。

截图12

截图13

检测方法

使用mt或aio进行检测

  之前所用的方法无法检测到通过这种方式所克隆的用户信息,当然如果直接通过查看注册表的方式是可以找到一些蛛丝马迹的,也可以通过mt及aio利用命令的方式来查看,这样的方法更直接和方便,如下图所示。

截图02

截图03

后记

  整个测试过程已打包上传,对本文仍有疑问的可以看看视频文档http://down.51cto.com/data/150453,该文档已包含文中所有的测试工具,大家有更好的案例或是工具欢迎一起交流。