查看完整版本: 突破本机XP系统权限

突破本机XP系统权限

[size=3]学校举行国家信息中心举办考试，占用学校机房的机器，以前我们用的机器是WIN2000PRO的系统，而且是管理员权限。可是现在变成了双系统，WIN2000OPRO 和WINXP。而且WIN2000的给的权限是user，不爽，但是系统居然连个SP1补丁也没有打，所以轻松用输入法漏洞搞定系统了。可是XP的系统居然连个user用户也不给，我又想用一下XP ，可是有不能和老师要密码，否则就…
可是自己来搞定XP ，也不是说说就可以搞定的，我行动的步骤如下：
首先分析一下双系统的分布情况，WIN2000的系统安装在了C盘下。而XP的系统安装在了E盘下，两个分区都是NTFS。而且E盘下还没有给2000下的user用户任何访问权限。
思路：
1、试验administrator的密码是不是空，连按两次CTRL+ALT+DEL ，会弹出登陆的界面。
2、在突破2000系统的权限，然后给自己加权限来访问XP所在的盘符E盘。  
3、或者把SAM文件删除掉，这样administrator的用户密码就变成了空了。
4、把XP系统下的系统文件logon.scr用cmd.exe替换掉。
5、用我手头现有的漏洞溢出工具MS04011来溢出获得权限。   
6、替换系统现有的服务文件，而被替换的文件和替换的文件（这个我自己做一个批处理，添加帐户和提升为管理员，然后把后缀改为.exe就可以了），可是被替换的系统服务是什么文件，我对XP不熟悉，还不知道替换那个服务的启动文件呢思路有了，那就开始做：  
第一次尝试：  
正常启动XP，试验第1种思路，看看可以行的通不，这个只是尝试，没有多打希望，可是还真的是这样的。当启动到登陆界面的时候，我按了CTRL+ALT+DEL连续两次，结果以administrator的用户，密码是空登陆，失败。看来管理员没有用默认Administrator用户的空密码，改掉了。没关系，还有第2种思路。
第二次简单突破：   
  首先到2000的系统，然后突破权限使自己成为管理员，到E盘下，删除了e/windows/system32/config下的SAM文件。得意中重起了计算机。当进入XP的画面时，居然弹出警告信息，大概意思是帐户的数据库出问题，只有一个“确定”按钮可点，我点击下以后，机器重起了，莫非删除文件的方法我记错了，还时没删除对文件，我没工夫到网络上查，就接着往下实验，我还有其他的思路来突破权限。  
第三次我以为“万能”的方法：  
又启动机器到2000下，然后把cmd.exe改名成为logon.scr，然后复制到e/windows/system32下，在复制之前我备份真正的logon.scr为logon.bak。重起机器再到XP下，然后等待10分钟，果然出现了可爱的cmd窗口，迫不及待的输入了命令：   
e/windows/system32/net user abc abcd /add   
发生系统错误 5。  
拒绝访问。   
晕，莫非系统启动后，不是system最高权限？
还是以cmd下添加用户没有权限，再窗口中添加可以呢？怀着试试看的态度，又再cmd下敲入了：e/windows/system32/explorer.exe  
屏幕一闪，出现了资源管理器的窗口，我从开始->我的电脑->右键单击->“管理”，然后在“本地用户和组”中添加帐户，还是失败，意思也是权限不够，此时我也在笑我自己，明明知道这个窗口中和cmd下权限一样，还要实验，来浪费时间，可是不实验怎么甘心呢？我自我安慰到。  
对了，还有一招，替换系统服务的文件，刚才不知道替换哪个服务，替换哪个文件，现在直接一目了然。我从“服务和应用程序”中的“服务”中找替换的服务时，发现几乎所有的系统服务都是以svchost.exe加参数来启动的，好不容易找到一个服务：
服务名称：Spooler  
显示名称：Print Spooler   
描述：将文件加载到内存中以便迟后打印。   
可执行文件路径：E/WINDOWS/system32/spoolsv.exe   
这个服务启动方式是：“自动”，而且是打印服务，机房的机器对于这种服务可有可无，我就决定替换它了。  
手工编写批处理文件，内容如下：
net user abc abcd /add  
net localgroup administrators abc /add  
然后把文件改为spoolsv.exe来覆盖E/WINDOWS/system32/下真正的spoolsv.exe文件，可是提示无法覆盖，因为服务启动中。我决定不停止服务，到2000的系统下替换这个文件。
又是重起机器，等在出现XP登陆画面时，怎么在选择用户里没有我所看到的abc用户呢？按CTRL+ALT+DEL两次在说，以用户名：abc密码：abcd登陆。结果失败。为什么会这样，还是到系统下查看一下添加abc用户成功没有？漫长的10分钟又来临，而我只有等待，看着我的“跑表”一秒一秒的慢慢的走动。   
现在我想疯~~   
出现了cmd窗口以后，我用net user 来查看，结果没有abc用户，咦~~怎么会这样？又老套启动资源管理器，发现我刚才替换的服务虽然是“自动”，可是现在却在停止状态，我启动它，显示没有权限。咳~~~叹气！！！ 我上看下看，左看右看，这台电脑我怎么也看不明白！！！
用最后的方法吧：   
找到MS04011溢出的工具，运行来溢出，结果也不行，我也不知道为什么？哪位高人知道，麻烦告诉小弟一声，小弟的E-mail：[url=mailto:lz_yq@126.com]lz_yq@126.com[/url]   
在资源管理器下还可以用ftp，我就到我的机器上下载了一个wollf木马，自己载xp上运行，然后用其他机器上连接这个机器，可以连接上，可是当加用户的时候，也是提示权限不够而导致加不了用户。  
我先看一下我现在是以什么用户来运行的这些程序，可是在“任务管理器”中，没有显示任何用户登陆，在应用程序中，显示的是：Winlogon通用控制对话。小弟对WINXP没有研究，还希望哪位高人指教。  
现在虽然没有以任何用户登陆，但是在资源管理器中可以访问我的电脑和每个盘符，就是加了安全限制，只允许管理员访问的文件夹，这时也可以访问。虽然用起来不爽，但是还可以凑合着用！  
到此，我所有的招数已用完，可是提升权限的目的没有达到，而用WINXP的目的还是达到了。虽然心里高兴，可是这样也不错了。突然，我身后传来了声音“还挺辛苦的！”啊！我的老师什么时间出现在我的身后？？晕死~
结果，我估计大家谁也没猜到答案，因为老师告诉了我administrator用户的密码，居然密码时：administrators   
倒~~再次晕死！！！
这样获得系统权限的目的达到了！！！   
补充：这样其实也不是什么破解，是老师告诉了我的管理员密码，我不甘心，打算一定要自己动手，丰衣足食。   
下面我接着突破，结果成功了，也算是是利用了XP默认的东西吧。
把cmd.exe改名为logon.scr放到系统盘下覆盖掉原来的logon.scr以后（这之前一定要备份真正的logon.scr），等带15分钟的屏保吧，如图1：

[img]http://www.book52.com/article/UploadPic/2008-1/20081228202547222.jpg[/img]

突破本机XP系统权限
然后输入：explorer.exe   
就会弹出桌面的资源管理器，然后可以利用这个编辑注册表了，哈哈，不知道大家有灵感了吗，我以前写的文章是做隐藏帐户，在XP下应该也可以这样做手脚的吧。直接找到注册表键值：HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users下，把administrator用户的对应000001F4（默认情况）下的F键值覆盖guest的F键值（覆盖前，先备份guest对应的F键值000001F5，这个也是默认情况）。步骤如图2和 图3：

[img]http://www.hackbase.com/uploadfile/tech/uploadfile/200803/20080307043342911.jpg[/img]

[img]http://www.book52.com/article/UploadPic/2008-1/20081228211024217.jpg[/img]

由于我不会排版，大家就将就看吧
[/size]

I have learnt a lot from this article. thank you very muxh