請選擇 進入手機版 | 繼續訪問電腦版

NoName Team 電腦資訊討論區

 找回密碼
 我要註冊
搜索
查看: 879|回復: 4

[討論] PE雙登入改自動登入與修改密碼

[複製鏈接]
發表於 2021-4-2 18:07:25 | 顯示全部樓層 |閱讀模式
本帖最後由 makimaki2 於 2021-4-9 04:11 編輯

[版本]2567288之19h2
[問題]1.因為每次需要輸密碼不是很方便,希望能自動登入SYSTEM帳號
         2.安全性考量希望改掉預設密碼

[已測試步驟A]
1.更改密碼,命令行執行
net user DefaultAccount 123456新密碼
net user Administrator 123456新密碼

2.
netplwiz

2.取消必須輸入帳號密碼,將帳號密碼填入彈出選單


3.確認後,經過比對,得到以下註冊表更動項

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultPassword"=-
"DefaultUserName"="DefaultAccount"

ˋ4.將上述註冊表整合到PE之config之SOFTWARE中



5.因為複製出來的SAM,SECURITY測試後可以掛載但是沒有內容
將前述PE中修正好的SAM,SECURITY複製,替換原版的SAM,SECURITY

[已測試步驟B]

6.關閉Administrator帳號激活
net user Administrator /active:no

7.同樣替換SAM,SECURITY

[結果]
經測試原PE帳號密碼有變更成功,Administrator有被關閉
但是以上變更,通過將SAM,SECURITY覆蓋原檔,整合好PE重開機後均無效
b1.無自動登入
b2.密碼依舊不變
b3.Administrator帳號沒有被關閉


ˋ8.假定reg load 離線PE之SAM,SECURITY
將會看到內容沒有被展開,需要System帳號權限才能展開,
差分註冊表可以導入,但是重開機直接藍屏

使用psexec -s -i Regedit.exe提升權限到SYSTEM
因為報錯 找不到網路路徑
(1)開放防火牆netbios權限 139 ˋˋ445端口

(2)開放遠端登入權限
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"LocalAccountTokenFilterPolicy"=dword:00000001

(3)開放 admin權限共享admin$  遠端登陸與默認共用權限共享ipc$
net share ipc$
net share admin$

[結果]
psecec回傳0,執行成功
掛載後的SAM依然為空白
檢查PE之SAM,SECURITY僅為8K貌似是空白開機後動態生成的

9.重新執行步驟1-6
此時 經測試原PE帳號密碼有變更成功,Administrator有被關閉
使用指令 熱備份SAM與SECURITY
reg save hklm\sam Z:\SAM
reg save hklm\security Z:\SECURITY
此時得到的SAM與SECURITY為30K上下,而且可以通過SYSTEM權限的Reg load掛載,並且展開

10.將前述檔案替換掉PE之SAM,SECURITY,分別測試單檔與兩檔
[結果]
出現各種奇妙的當機方式,如顯示器OSD顯示頻率異常1000倍

[初步判斷]
(a)PE之SAM,SECURITY為空白檔案
(b)內容在開機時生成
(c)不能用非空白檔案替換,否則會妨礙動態生成(暫未定)
(d)PE開機過程生成帳號密碼的註冊表之數據存儲區待確定,找到此位置,就能修改PE密碼與自動登入

11.將1903原版PE之SAM,SECURITY開頭的所有檔案
取代本PE之對應檔案,重新封裝

[結果]
正常開機,依然存在密碼,依然需要登入

[判斷]
證實前述初步判斷,並確認了,追加登入密碼與輸密碼noname的方式
不是採用正規方式的SAM,SECURITY來儲存
而是利用SAM,SECURITY動態生成個過程中,從某點進行注入(非常規的數據注入口)

最後關鍵就是這個注入點在哪裡的問題,既然2567288能將密碼設為noname,理論上我們修正他的操作就能更動數據
只要找出來在那裡,就可以改密碼,改自動登入


 樓主| 發表於 2021-4-8 14:04:37 | 顯示全部樓層
本帖最後由 makimaki2 於 2021-4-9 23:05 編輯

[結論]

1.經過查找比對,最後確定注入點是外部程序PESET.exe
其中配置文件在X:\Windows\System32\PESET.INI

登入相關區段
[Users]
Administrator=1
Login=ADMIN/SYSTEM
Desktop=
[Login]
SETUP=1
SYSTEM=1

顯示卡驅動未自動加載的因素
[drivers]
display=0

預設密碼相關
[PESET]
key=523F006E006F90D00...
Password=000330003199...

無疑地,修改上述數據就可以得到目標的結果

2.但是這樣的做法,顯然不夠好,
不夠深入底層,沒有抵達系統的真實

註冊表PESET相關項目查找如下


其中HKEY_LOCAL_MACHINE\SYSTEM\Setup之CmdLine
內容為PECMD.EXE MAIN %Windir%\system32\SU.ini


而SU.ini的內容為EXEC PESET SU
代表執行PESET模式為SU,為PESET.exe的加載點

將PE中之System檔案匯入以下註冊表
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\Setup]
"CmdLine"="PECMD.EXE MAIN %SystemRoot%\\system32\\pecmd.ini"

確保pecmd.ini中包含 基本啟動項目
EXEC =%windir%\system32\wpeinit.exe
INIT U,3000SHEL
%SystemRoot%\explorer.exe

成功開機後即可刪除peset.exe ,peset.ini ,su.ini
以上操作是通過刪除PESET.exe相關之子系統,來實現對PE的客製化與可控性


3.啟動wpeinit.exe 預設會調用startnet.cmd
詳細見另篇         
[教學] PE開機流程  
https://inonameteam.com/thread-6343-1-1.html
發表於 2021-4-3 07:48:17 | 顯示全部樓層
我比較希望以後任何新版的PE都不要設定登入密碼多這一道步驟
發表於 2021-4-12 21:43:24 | 顯示全部樓層
使用PE生成器的PE都會有PESET.exe,該程序包含有關於各項底層破解的一些代碼及ADMIN切換的功能等等

以下是SU.ini的原始內容

SET &AddGroup=0

//////////////////  Administrator 登录前设置 //////////////////
_SUB ADMIN
  
   // CALL $Netapi32.dll,NetJoinDomain,,WORKGROUP,,,,1
    REGI --v .HKLM\SOFTWARE\PELOGON_U\RAMDATA\\SU_INITED,&&SU_INITED
    FIND $%&SU_INITED%=,  SET &bInited=0! SET &bInited=1
    REGI $HKEY_LOCAL_MACHINE\SOFTWARE\PELOGON\SHELL=%SystemRoot%\System32\PECMD.EXE WAIT -freemem =999999000
    REGI HKEY_LOCAL_MACHINE\SOFTWARE\PELOGON\USHELL=
    IFEX #%&bInited%=0,
    {
    @IFEX #%&AddGroup%>0, EXEC =*"%ProgramFiles%\PENetwork\startnet.exe" -wg WORKGROUP
    }
    REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceAutoLogon=#1
    REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon=#1
    REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName=Administrator
    REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultPassword=""
    REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\Guest=#0 `登陆界面不需要显示 GUEST 用户
    REGI HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\EnableSIHostIntegration=#0        `禁止 sihost.exe,可以加快登陆速度
    `设置登录后的配置文件 ADMIN.INI,登录后,会自动执行
    LINK X:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SET,%SystemRoot%\System32\PESET.exe,Startup
    IFEX #%&bInited%=0,
    {
   // PCIP *qk ,,,,0,0                                                                                      `禁用网卡可以加快登录速度
                                                                                                
    `正在启动服务
    SERV -wait gpsvc
    SERV -wait ProfSvc
    SERV -wait seclogon
    }
    SET &cmdu=MAIN --user //%SystemRoot%\System32\PECMD.ini -user: Administrator
    SET &cmd1=LOAD %&CurFile%*RUN_SU //1 %SystemRoot%\System32\PECMD.EXE %&cmdu%
    SET &cmdd=LOAD "X:\Windows\SYSTEM32\PECMD.INI"*OnShutdownTask
    SET &udms=MOUN-UDM Server //-replace
    FIND  --pid*@   &&Vs,%&MyNAME0%
    FORX *NL &Vs,&&Vi,
    {   MSTR* &&pid,&&cmda=<1><7>%&vi%
        @MSTR * &&a2,&&a3=<2*>&cmda
        @SET &S=%&a2% %&a3%
        FIND $[ %&S%=%&cmdu% | %&S%=%&cmd1% | %&S%=%&cmdd% | %&S%=%&udms% ], KILL *%&pid%
    }
    REGI --v $HKLM\SOFTWARE\PELOGON_U\RAMDATA\\SU_INITED=1
    KILL -1 -explorer -tree EXPLORER.EXE
    KILL -1 -explorer -tree EXPLORER.EXE
    KILL -1 -explorer EXPLORER.EXE
    KILL -1 -explorer EXPLORER.EXE
    SHUT L
    `退出现有用户,自动以 Administrator 模式登录
    EXEC *%SystemRoot%\System32\tsdiscon.exe
    FILE -q -force x:\windows\System32\Admin.WCS
_END

///////////////////  结束 Administrator 登入模式 ///////////////////
_SUB CheckAdmin2,*  //快速切换到Administrator
    SET &Wid=0
    SOCK --shm Admin2;w;#Admin2;128;;;0;128
    ENVI-mkfixdummy  &CfgAdmin2=(shm)Admin2;~
    ENVI?ptr &CfgAdmin2=&Wid
    IFEX #%&Wid%=0, EXIT
    EXEC %SystemRoot%\System32\PESET.EXE Startup
    ENVI @@SENDMSG=%&Wid%:#1;%&__PID%;%&__PID%
_END
CALL CheckAdmin2   //先试试:快速切换到Administrator
CALL ADMIN

_SUB RUN_SU
    PCIP *qk ,,,,0,1
    MSTR &cmdx=<2->%*
    LOOP #1=1,
    {   DATE &&t0 uptime
        ^EXEC --pid:&&pid %&cmdx%  //不应该退出的
        WAIT 5500 *%&pid%
        DATE &&t uptime
        CALC #&t=(%&t%-%&t0%) & 0xFFFFFFFF
        IFEX #%&t%>=5000, EXIT
        WAIT 500
    }
_END
您需要登錄後才可以回帖 登錄 | 我要註冊

本版積分規則

小黑屋|手機版|NoName Team 電腦資訊討論區 |網站地圖

GMT+8, 2021-5-15 22:39 , Processed in 0.140045 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表