title: RID劫持笔记

date: 2019-8-29 23:10:29

tags: 记录

RID劫持的原理就是在注册表当中(HKLM\SAM\SAM\Domains\Account\Users),将普通用户的键值修改为管理员或者其他用户的键值。以达到登录普通用户,但是可以使用的权限却为更高级的权限的目的。

主要实现方法为将普通用户对应的F值中的0030处修改为高权限用户对应的F值中的0030处的值。
需要注意的是
1、注册表需要管理员权限,msf在获取metepreter的情况下也可操作
2、F值是低字节序,需要倒序插入

建立影子用户的后续手段便是通过RID劫持来实现的。

RID
Windows系统帐户对应固定的RID:
500: administrator
501: guest
502: krbtgt(域环境)
512: Domain Admins(域环境)
513: Domain Users(域环境)
514: Domain Guests(域环境)
515: Domain Computers(域环境)
516: Domain Controllers(域环境)

tips:
1、F值中的0038处为用户启用开关
2、F值内的数据均为16进制,可根据对应值修改
3、RID劫持后所登入的用户,以及使用net user xxx查看到的信息都为普通用户状态,但是实际上权限为劫持对象的权限