最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
NT/2000提升权限的方法小结 《转》
时间:2022-06-30 11:04:33 编辑:袖梨 来源:一聚教程网
Windows NT/2000通用的提升方法
攻击者在获得系统一定的访问权限后通常要把自己的权限提升到管理员组,这样攻击者就控制了该计算机系统。这主要有以下几种方法:1. 获得管理员密码,下次就可以用该密码进入系统; 2. 先新建一个用户,然后把这个普通添加到管理员组,或者干脆直接把一个不起眼的用户如guest添加到管理员组; 3. 安装后门。
本文简要介绍在 Windows NT4 和 Windows 2000 里攻击者常用的提升权限的方法。下面是具体方法:
方法1:下载系统的 %windir%epairsam.*(WinNT 4下是sam._ 而Windows 2000下是sam)文件,然后用L0pht等软件进行破解,只要能拿到,肯花时间,就一定可以破解。
问题:(1)攻击者不一定可以访问该文件(看攻击者的身份和管理员的设置);
(2)这个文件是上次系统备份时的帐号列表(也可能是第一次系统安装时的),以后更改帐号口令的话,就没用了。
方法2:使用pwdump(L0pht自带的,Windows 2000下无效)或者pwdump2,取得系统当前的用户列表和口令加密列表,然后用L0pht破解这个列表。
问题:普通用户不能成功运行pwdump类程序(没有权限),例如:使用unicode漏洞进入系统时是IUSR_computer身份,该用户一般只属于guests组的,运行pwdump类程序就会失败。
(以上两种是离线的)
方法3:使用 Enum 等程序进行远程破解,猜口令。enum 可以使用指定的字典对远程主机的某个用户进行破解。
问题:(1)如果系统设置了帐号锁定的话,破解几次失败,该帐号就锁定了,暂时不能再破解;
(2)要远程系统开放 Netbios 连接,就是 TCP 的139端口,如果用防火墙过滤了的话 Enum 就无法连接到主机。
(以上方法是通过破解获得密码的,还有直接把当前用户提升权限或者添加用户到管理员组的方法。)
方法4:GetAdmin(WinNT 4下)、PipeUpAdmin(Windows 2000下), 在本机运行可以把当前用户帐号加入管理员组。而 PipeUpAdmin 则比较厉害,普通用户和Guests组用户都可以成功运行。
问题:GetAdmin 在 SP4 有补丁修复了,不能用于高于 SP4 的 WinNT 4 系统,当然后来又有GetAdmin的增强版本,不过在 SP6a下好像都不能成功运行。
注:这一方法利用了 WinNT 4 系统的安全漏洞,可以安装补丁解决这一问题。
(此外还有变通的方法。)
方法5:在WinNT 4 和 Windows 2000 注册表里指定用户Shell程序(Explorer.exe)时没有使用绝对路径,而是使用了一个相对路径的文件名(考虑到兼容性问题)。由于在系统启动时程序的搜索顺序问题使得 %Systemdrive%Explorer.exe(作系统安装的跟目录下的Explorer.exe)程序执行,这提供了攻击者一个机会在用户下次登录时执行他自己的程序。
攻击者在获得系统一定的访问权限后通常要把自己的权限提升到管理员组,这样攻击者就控制了该计算机系统。这主要有以下几种方法:1. 获得管理员密码,下次就可以用该密码进入系统; 2. 先新建一个用户,然后把这个普通添加到管理员组,或者干脆直接把一个不起眼的用户如guest添加到管理员组; 3. 安装后门。
本文简要介绍在 Windows NT4 和 Windows 2000 里攻击者常用的提升权限的方法。下面是具体方法:
方法1:下载系统的 %windir%epairsam.*(WinNT 4下是sam._ 而Windows 2000下是sam)文件,然后用L0pht等软件进行破解,只要能拿到,肯花时间,就一定可以破解。
问题:(1)攻击者不一定可以访问该文件(看攻击者的身份和管理员的设置);
(2)这个文件是上次系统备份时的帐号列表(也可能是第一次系统安装时的),以后更改帐号口令的话,就没用了。
方法2:使用pwdump(L0pht自带的,Windows 2000下无效)或者pwdump2,取得系统当前的用户列表和口令加密列表,然后用L0pht破解这个列表。
问题:普通用户不能成功运行pwdump类程序(没有权限),例如:使用unicode漏洞进入系统时是IUSR_computer身份,该用户一般只属于guests组的,运行pwdump类程序就会失败。
(以上两种是离线的)
方法3:使用 Enum 等程序进行远程破解,猜口令。enum 可以使用指定的字典对远程主机的某个用户进行破解。
问题:(1)如果系统设置了帐号锁定的话,破解几次失败,该帐号就锁定了,暂时不能再破解;
(2)要远程系统开放 Netbios 连接,就是 TCP 的139端口,如果用防火墙过滤了的话 Enum 就无法连接到主机。
(以上方法是通过破解获得密码的,还有直接把当前用户提升权限或者添加用户到管理员组的方法。)
方法4:GetAdmin(WinNT 4下)、PipeUpAdmin(Windows 2000下), 在本机运行可以把当前用户帐号加入管理员组。而 PipeUpAdmin 则比较厉害,普通用户和Guests组用户都可以成功运行。
问题:GetAdmin 在 SP4 有补丁修复了,不能用于高于 SP4 的 WinNT 4 系统,当然后来又有GetAdmin的增强版本,不过在 SP6a下好像都不能成功运行。
注:这一方法利用了 WinNT 4 系统的安全漏洞,可以安装补丁解决这一问题。
(此外还有变通的方法。)
方法5:在WinNT 4 和 Windows 2000 注册表里指定用户Shell程序(Explorer.exe)时没有使用绝对路径,而是使用了一个相对路径的文件名(考虑到兼容性问题)。由于在系统启动时程序的搜索顺序问题使得 %Systemdrive%Explorer.exe(作系统安装的跟目录下的Explorer.exe)程序执行,这提供了攻击者一个机会在用户下次登录时执行他自己的程序。