PE雙登入改自動登入與修改密碼

makimaki2 · 發表於 2021-4-2 18:07:25

本帖最後由 makimaki2 於 2021-4-9 04:11 編輯

[版本]2567288之19h2
[問題]1.因為每次需要輸密碼不是很方便,希望能自動登入SYSTEM帳號
2.安全性考量希望改掉預設密碼

[已測試步驟A]
1.更改密碼,命令行執行
net user DefaultAccount 123456新密碼
net user Administrator 123456新密碼

2.
netplwiz

2.取消必須輸入帳號密碼,將帳號密碼填入彈出選單

3.確認後,經過比對,得到以下註冊表更動項

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultPassword"=-
"DefaultUserName"="DefaultAccount"

ˋ4.將上述註冊表整合到PE之config之SOFTWARE中

5.因為複製出來的SAM,SECURITY測試後可以掛載但是沒有內容
將前述PE中修正好的SAM,SECURITY複製,替換原版的SAM,SECURITY

[已測試步驟B]

6.關閉Administrator帳號激活
net user Administrator /active:no

7.同樣替換SAM,SECURITY

[結果]
經測試原PE帳號密碼有變更成功,Administrator有被關閉
但是以上變更,通過將SAM,SECURITY覆蓋原檔,整合好PE重開機後均無效
b1.無自動登入
b2.密碼依舊不變
b3.Administrator帳號沒有被關閉

ˋ8.假定reg load 離線PE之SAM,SECURITY
將會看到內容沒有被展開,需要System帳號權限才能展開,
差分註冊表可以導入,但是重開機直接藍屏

使用psexec -s -i Regedit.exe提升權限到SYSTEM
因為報錯找不到網路路徑
(1)開放防火牆netbios權限 139 ˋˋ445端口

(2)開放遠端登入權限
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"LocalAccountTokenFilterPolicy"=dword:00000001

(3)開放 admin權限共享admin$ 遠端登陸與默認共用權限共享ipc$
net share ipc$
net share admin$

[結果]
psecec回傳0,執行成功
掛載後的SAM依然為空白
檢查PE之SAM,SECURITY僅為8K貌似是空白開機後動態生成的

9.重新執行步驟1-6
此時經測試原PE帳號密碼有變更成功,Administrator有被關閉
使用指令熱備份SAM與SECURITY
reg save hklm\sam Z:\SAM
reg save hklm\security Z:\SECURITY
此時得到的SAM與SECURITY為30K上下,而且可以通過SYSTEM權限的Reg load掛載,並且展開

10.將前述檔案替換掉PE之SAM,SECURITY,分別測試單檔與兩檔
[結果]
出現各種奇妙的當機方式,如顯示器OSD顯示頻率異常1000倍

[初步判斷]
(a)PE之SAM,SECURITY為空白檔案
(b)內容在開機時生成
(c)不能用非空白檔案替換,否則會妨礙動態生成(暫未定)
(d)PE開機過程生成帳號密碼的註冊表之數據存儲區待確定,找到此位置,就能修改PE密碼與自動登入

11.將1903原版PE之SAM,SECURITY開頭的所有檔案
取代本PE之對應檔案,重新封裝

[結果]
正常開機,依然存在密碼,依然需要登入

[判斷]
證實前述初步判斷,並確認了,追加登入密碼與輸密碼noname的方式
不是採用正規方式的SAM,SECURITY來儲存
而是利用SAM,SECURITY動態生成個過程中,從某點進行注入(非常規的數據注入口)

最後關鍵就是這個注入點在哪裡的問題,既然2567288能將密碼設為noname,理論上我們修正他的操作就能更動數據
只要找出來在那裡,就可以改密碼,改自動登入

makimaki2 · 發表於 2021-4-8 14:04:37

本帖最後由 makimaki2 於 2021-4-9 23:05 編輯

[結論]

1.經過查找比對,最後確定注入點是外部程序PESET.exe
其中配置文件在X:\Windows\System32\PESET.INI

登入相關區段
[Users]
Administrator=1
Login=ADMIN/SYSTEM
Desktop=
[Login]
SETUP=1
SYSTEM=1

顯示卡驅動未自動加載的因素
[drivers]
display=0

預設密碼相關
[PESET]
key=523F006E006F90D00...
Password=000330003199...

無疑地,修改上述數據就可以得到目標的結果

2.但是這樣的做法,顯然不夠好,
不夠深入底層,沒有抵達系統的真實

註冊表PESET相關項目查找如下

其中HKEY_LOCAL_MACHINE\SYSTEM\Setup之CmdLine
內容為PECMD.EXE MAIN %Windir%\system32\SU.ini

而SU.ini的內容為EXEC PESET SU
代表執行PESET模式為SU,為PESET.exe的加載點

將PE中之System檔案匯入以下註冊表
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\Setup]
"CmdLine"="PECMD.EXE MAIN %SystemRoot%\\system32\\pecmd.ini"

確保pecmd.ini中包含基本啟動項目
EXEC =%windir%\system32\wpeinit.exe
INIT U,3000SHEL
%SystemRoot%\explorer.exe

成功開機後即可刪除peset.exe ,peset.ini ,su.ini
以上操作是通過刪除PESET.exe相關之子系統,來實現對PE的客製化與可控性

3.啟動wpeinit.exe 預設會調用startnet.cmd
詳細見另篇
[教學] PE開機流程
https://inonameteam.com/thread-6343-1-1.html

a10036no · 發表於 2021-4-12 21:43:24

使用PE生成器的PE都會有PESET.exe，該程序包含有關於各項底層破解的一些代碼及ADMIN切換的功能等等

以下是SU.ini的原始內容

SET &AddGroup=0

//////////////////  Administrator 登录前设置 //////////////////
_SUB ADMIN

// CALL $Netapi32.dll,NetJoinDomain,,WORKGROUP,,,,1
REGI --v .HKLM\SOFTWARE\PELOGON_U\RAMDATA\\SU_INITED,&&SU_INITED
FIND $%&SU_INITED%=,  SET &bInited=0! SET &bInited=1
REGI $HKEY_LOCAL_MACHINE\SOFTWARE\PELOGON\SHELL=%SystemRoot%\System32\PECMD.EXE WAIT -freemem =999999000
REGI HKEY_LOCAL_MACHINE\SOFTWARE\PELOGON\USHELL=
IFEX #%&bInited%=0,
{
@IFEX #%&AddGroup%>0, EXEC =*"%ProgramFiles%\PENetwork\startnet.exe" -wg WORKGROUP
}
REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceAutoLogon=#1
REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon=#1
REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName=Administrator
REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultPassword=""
REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\Guest=#0 `登陆界面不需要显示 GUEST 用户
REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\EnableSIHostIntegration=#0       `禁止 sihost.exe，可以加快登陆速度
`设置登录后的配置文件 ADMIN.INI，登录后，会自动执行
LINK X:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SET,%SystemRoot%\System32\PESET.exe,Startup
IFEX #%&bInited%=0,
{
// PCIP *qk ,,,,0,0                                                                                     `禁用网卡可以加快登录速度

`正在启动服务
SERV -wait gpsvc
SERV -wait ProfSvc
SERV -wait seclogon
}
SET &cmdu=MAIN --user //%SystemRoot%\System32\PECMD.ini -user: Administrator
SET &cmd1=LOAD %&CurFile%*RUN_SU //1 %SystemRoot%\System32\PECMD.EXE %&cmdu%
SET &cmdd=LOAD "X:\Windows\SYSTEM32\PECMD.INI"*OnShutdownTask
SET &udms=MOUN-UDM Server //-replace
FIND  --pid*@ &&Vs,%&MyNAME0%
FORX *NL &Vs,&&Vi,
{ MSTR* &&pid,&&cmda=<1><7>%&vi%
      @MSTR * &&a2,&&a3=<2*>&cmda
      @SET &S=%&a2% %&a3%
      FIND $[ %&S%=%&cmdu% | %&S%=%&cmd1% | %&S%=%&cmdd% | %&S%=%&udms% ], KILL *%&pid%
}
REGI --v $HKLM\SOFTWARE\PELOGON_U\RAMDATA\\SU_INITED=1
KILL -1 -explorer -tree EXPLORER.EXE
KILL -1 -explorer -tree EXPLORER.EXE
KILL -1 -explorer EXPLORER.EXE
KILL -1 -explorer EXPLORER.EXE
SHUT L
`退出现有用户，自动以 Administrator 模式登录
EXEC *%SystemRoot%\System32\tsdiscon.exe
FILE -q -force x:\windows\System32\Admin.WCS
_END

///////////////////  结束 Administrator 登入模式 ///////////////////
_SUB CheckAdmin2,*  //快速切换到Administrator
SET &Wid=0
SOCK --shm Admin2;w;#Admin2;128;;;0;128
ENVI-mkfixdummy  &CfgAdmin2=(shm)Admin2;~
ENVI?ptr &CfgAdmin2=&Wid
IFEX #%&Wid%=0, EXIT
EXEC %SystemRoot%\System32\PESET.EXE Startup
ENVI @@SENDMSG=%&Wid%:#1;%&__PID%;%&__PID%
_END
CALL CheckAdmin2 //先试试：快速切换到Administrator
CALL ADMIN

_SUB RUN_SU
PCIP *qk ,,,,0,1
MSTR &cmdx=<2->%*
LOOP #1=1,
{ DATE &&t0 uptime
      ^EXEC --pid:&&pid %&cmdx%  //不应该退出的
      WAIT 5500 *%&pid%
      DATE &&t uptime
      CALC #&t=(%&t%-%&t0%) & 0xFFFFFFFF
      IFEX #%&t%>=5000, EXIT
      WAIT 500
}
_END

limit775 · 發表於 2021-4-3 07:48:17

我比較希望以後任何新版的PE都不要設定登入密碼多這一道步驟

hu.man520 · 發表於 2021-4-5 09:23:04

是 PESET

		自動登錄	找回密碼
密碼			我要註冊

[討論] PE雙登入改自動登入與修改密碼