实验原理
- Windows2000简体中文版存在着输入法漏洞,可以使本地用户绕过身份验证机制进入系统内部。
- 经测试,利用远程桌面连接到Windows2000简体中文版的终端服务时仍然存在这一漏洞,因此该漏洞使终端服务成为Windows2000的木马。也就是说,远程用户可以利用该漏洞进入系统。
实验准备
- Windows2000
- Windows远程访问(以Windows2003为例)
实验内容
远程连接Windows2000
在Windows2003上远程连接Windows2000,连接上后,屏幕上显示Windows2000登录界面(简体中文):
Windows2000上也显示被Windows2003远程连接:
入侵Windows2000
用“Ctrl+Shift”键切换输入法至全拼:
右击状态条上的微软徽标,在弹出框中选择“帮助”,“操作指南”(若呈灰色说明对方已经修复该漏洞):
在弹出的页面中右键“基本操作”,选择“跳转至URL…”:
此时出现Windows2000的系统安装路径和要求我们填入的路径的空白栏。此时在空白栏中填入“c:\winnt\system32”:
点击“确认”,此时成功绕过了身份验证,进入了系统的“SYSTEM32”目录:
利用net命令创建一个合法的管理员用户
点击“显示文件”,找到“net.exe”文件:
右键,创建快捷方式:
右键“net.exe”,点击“属性”,修改“目标”。
在“c:\winnt\system32\net.exe”后空一格,填入“user guest /active:yes”,点击“确定”:
这一步骤目的在于用“net.exe”激活被禁用的账户“guest”。
右击“快捷方式 net.exe”,“打开”,运行该快捷方式。
重复上一步骤,此时设置密码为123,将“user guest 123”填入“目标”,运行:
重复上一步骤,此时将guest变成系统管理员,将“localgroup administrators guest /add”填入“目标”,运行:
此时设置完成。
测试
登录终端服务器:
以“guest”、“123”进入:
此时guest已是系统管理员,拥有一切权限。
删除入侵痕迹
删除创建的快截方式“快捷方式 net.exe”:
若在winnt\system32\logfiles下有日志文件,也一并删除。