本文仅用于合法运维/安全自查,严禁用于未授权入侵与权限维持。
一、Windows 隐藏用户创建与查找
- 创建隐藏用户
(1)基础隐藏($后缀)
- 管理员CMD:
cmd
net user back$ 123456! /add
net localgroup administrators back$ /add
- 效果: net user 不显示;计算机管理/ lusrmgr.msc 可见。
(2)登录界面隐藏(注册表UserList)
cmd
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v back$ /t REG_DWORD /d 0 /f
- 效果:登录页不显示;管理工具仍可见。
(3)深度隐藏(影子账户/克隆SID)
1. 赋予SAM权限:regedit→HKLM\SAM\SAM→权限→Administrators完全控制
2. 导出: HKLM\SAM\SAM\Domains\Account\Users\Names\back$ 与管理员SID项(000001F4)
3. 替换F值、删除原用户、导入注册表
想找到它,其实也很简单,这里面就有想找到它,其实也很简单,这里面就有
- 效果:常规界面全隐藏,具备管理员权限。
- 查找隐藏用户(必用4招)
1. WMIC全量查询(最稳)
cmd
wmic useraccount where LocalAccount=True get Name,SID,Disabled
- 重点:带$、异常SID、启用状态。
2. 本地用户和组
cmd
lusrmgr.msc
- 直接列出所有本地账户,含$用户。
3. 注册表SAM底层查看
- 路径: HKLM\SAM\SAM\Domains\Account\Users\Names
- 先赋权才能看到全部账户。
4. 检查UserList隐藏规则
cmd
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList"
- 值=0 即为隐藏。
- 清理
cmd
net user back /f
二、Linux 隐藏用户创建与查找
- 创建隐藏用户(2种常用)
(1)系统用户(UID<1000,登录页不显示)
bash
useradd -u 999 -r -s /sbin/nologin hidden passwd hidden usermod -aG wheel hidden # 提权(可选)
(2)克隆root(UID=0,高危)
bash
useradd toor usermod -u 0 -o -g 0 toor usermod -s /bin/bash toor
- 查找隐藏用户(应急排查)
1. 列出所有用户
bash
cat /etc/passwd | cut -d: -f1 getent passwd
2. 揪出UID=0异常账户
bash
awk -F: '3==0{print 1}' /etc/passwd
3. 筛可登录用户(排除nologin)
bash
grep -E "/bin/bash|/bin/sh" /etc/passwd
4. 查空口令/锁定
bash
awk -F: '2=="!"{print $1}' /etc/shadow
5. 查异常登录与进程
bash
lastlog w ps aux | grep -E "root|toor|hidden"
- 清理
bash
userdel -r hidden userdel -r toor
三、安全要点
1. 禁用Guest、关闭多余远程、限制管理员组。 2. 定期审计账户:Windows查WMIC/SAM;Linux查/etc/passwd、UID=0、空口令。 3. 影子账户/克隆SID是典型后门,发现立即删除并重置密码。
感谢阅读,欢迎再来实时更新哦~
