文章作者：浪子燕青
信息來源：黑客基地
原始連接：[url]http://www.xker.com/article/Article.asp?articleid=209[/url] 冰血備注：
這個(gè)是一篇很經(jīng)典的文章 不是因?yàn)樗夹g(shù)高深 而是因?yàn)樗岩从车膯栴}都反映了
讓一些錯(cuò)誤的文章啞口無言
文章并沒有解決什么問題 我仔細(xì)看了一下 到是作者在常識(shí)的各種方法碰壁的過程中 無意的把以前的所有錯(cuò)誤文章所陳述的方法都測試了一遍
不過說老實(shí)話 浪子燕青曾經(jīng)在X上有幾篇不錯(cuò)的文章 可是他所用的這些方法的總結(jié)文章 在此之前已經(jīng)有人寫過了 并且早投在X上了 E.S.T的成員可以在內(nèi)部版面找到那個(gè)文章 但請不要放出 我答應(yīng)編輯不要放的：） 浪子燕青所寫的正文： 學(xué)校舉行國家信息中心舉辦考試，占用學(xué)校機(jī)房的機(jī)器，以前我們用的機(jī)器是WIN2000PRO的系統(tǒng)，而且是管理員權(quán)限。可是現(xiàn)在變成了雙系統(tǒng)，WIN2000OPRO 和 WINXP。而且WIN2000的給的權(quán)限是user，不爽，但是系統(tǒng)居然連個(gè)SP1補(bǔ)丁也沒有打，所以輕松用輸入法漏洞搞定系統(tǒng)了?？墒荴P的系統(tǒng)居然連個(gè)user用戶也不給，我又想用一下XP ，可是有不能和老師要密碼，否則就?…
可是自己來搞定XP ，也不是說說就可以搞定的，我行動(dòng)的步驟如下：
首先分析一下雙系統(tǒng)的分布情況，WIN2000的系統(tǒng)安裝在了C盤下。而XP的系統(tǒng)安裝在了E盤下，兩個(gè)分區(qū)都是NTFS。而且E盤下還沒有給2000下的user用戶任何訪問權(quán)限。
思路：
1、試驗(yàn)administrator的密碼是不是空，連按兩次CTRL+ALT+DEL ，會(huì)彈出登陸的界面。
2、在突破2000系統(tǒng)的權(quán)限，然后給自己加權(quán)限來訪問XP所在的盤符E盤。
3、或者把SAM文件刪除掉，這樣administrator的用戶密碼就變成了空了。
4、把XP系統(tǒng)下的系統(tǒng)文件logon.scr用cmd.exe替換掉。
5、用我手頭現(xiàn)有的漏洞溢出工具M(jìn)S04011來溢出獲得權(quán)限。
6、替換系統(tǒng)現(xiàn)有的服務(wù)文件，而被替換的文件和替換的文件（這個(gè)我自己做一個(gè)批處理，添加帳戶和提升為管理員，然后把后綴改為.exe就可以了），可是被替換的系統(tǒng)服務(wù)是什么文件，我對XP不熟悉，還不知道替換那個(gè)服務(wù)的啟動(dòng)文件呢？
思路有了，那就開始做：
第一次嘗試：
正常啟動(dòng)XP，試驗(yàn)第1種思路，看看可以行的通不，這個(gè)只是嘗試，沒有多打希望，可是還真的是這樣的。當(dāng)啟動(dòng)到登陸界面的時(shí)候，我按了CTRL+ALT+DEL連續(xù)兩次，結(jié)果以administrator的用戶，密碼是空登陸，失敗。看來管理員沒有用默認(rèn)Administrator用戶的空密碼，改掉了。沒關(guān)系，還有第2種思路。
第二次簡單突破：
? 首先到2000的系統(tǒng)，然后突破權(quán)限使自己成為管理員，到E盤下，刪除了e/windows/system32/config下的SAM文件。得意中重起了計(jì)算機(jī)。當(dāng)進(jìn)入XP的畫面時(shí)，居然彈出警告信息，大概意思是帳戶的數(shù)據(jù)庫出問題，只有一個(gè)“確定”按鈕可點(diǎn)，我點(diǎn)擊下以后，機(jī)器重起了，莫非刪除文件的方法我記錯(cuò)了，還時(shí)沒刪除對文件，我沒工夫到網(wǎng)絡(luò)上查，就接著往下實(shí)驗(yàn)，我還有其他的思路來突破權(quán)限。
第三次我以為“萬能”的方法：
又啟動(dòng)機(jī)器到2000下，然后把cmd.exe改名成為logon.scr，然后復(fù)制到e/windows/system32下，在復(fù)制之前我備份真正的logon.scr為logon.bak。重起機(jī)器再到XP下，然后等待10分鐘，果然出現(xiàn)了可愛的cmd窗口，迫不及待的輸入了命令：
e/windows/system32/net user abc abcd /add
發(fā)生系統(tǒng)錯(cuò)誤 5。
拒絕訪問。
暈，莫非系統(tǒng)啟動(dòng)后，不是system最高權(quán)限？
還是以cmd下添加用戶沒有權(quán)限，再窗口中添加可以呢？懷著試試看的態(tài)度，又再cmd下敲入了：e/windows/system32/explorer.exe
屏幕一閃，出現(xiàn)了資源管理器的窗口，我從開始->我的電腦->右鍵單擊->“管理”，然后在“本地用戶和組”中添加帳戶，還是失敗，意思也是權(quán)限不夠，此時(shí)我也在笑我自己，明明知道這個(gè)窗口中和cmd下權(quán)限一樣，還要實(shí)驗(yàn)，來浪費(fèi)時(shí)間，可是不實(shí)驗(yàn)怎么甘心呢？我自我安慰到。
對了，還有一招，替換系統(tǒng)服務(wù)的文件，剛才不知道替換哪個(gè)服務(wù)，替換哪個(gè)文件，現(xiàn)在直接一目了然。我從“服務(wù)和應(yīng)用程序”中的“服務(wù)”中找替換的服務(wù)時(shí)，發(fā)現(xiàn)幾乎所有的系統(tǒng)服務(wù)都是以svchost.exe加參數(shù)來啟動(dòng)的，好不容易找到一個(gè)服務(wù)：
服務(wù)名稱：Spooler
顯示名稱：Print Spooler
描述：將文件加載到內(nèi)存中以便遲后打印。
可執(zhí)行文件路徑：E/WINDOWS/system32/spoolsv.exe
這個(gè)服務(wù)啟動(dòng)方式是：“自動(dòng)”，而且是打印服務(wù)，機(jī)房的機(jī)器對于這種服務(wù)可有可無，我就決定替換它了。
手工編寫批處理文件，內(nèi)容如下：
net user abc abcd /add
net localgroup administrators abc /add
然后把文件改為spoolsv.exe來覆蓋E/WINDOWS/system32/下真正的spoolsv.exe文件，可是提示無法覆蓋，因?yàn)榉?wù)啟動(dòng)中。我決定不停止服務(wù)，到2000的系統(tǒng)下替換這個(gè)文件。
又是重起機(jī)器，等在出現(xiàn)XP登陸畫面時(shí)，怎么在選擇用戶里沒有我所看到的abc用戶呢？按CTRL+ALT+DEL兩次在說，以用戶名：abc密碼：abcd登陸。結(jié)果失敗。為什么會(huì)這樣，還是到系統(tǒng)下查看一下添加abc用戶成功沒有？漫長的10分鐘又來臨，而我只有等待，看著我的“跑表”一秒一秒的慢慢的走動(dòng)。 ? 現(xiàn)在我想瘋~~
出現(xiàn)了cmd窗口以后，我用net user 來查看，結(jié)果沒有abc用戶，咦~~怎么會(huì)這樣？又老套啟動(dòng)資源管理器，發(fā)現(xiàn)我剛才替換的服務(wù)雖然是“自動(dòng)”，可是現(xiàn)在卻在停止?fàn)顟B(tài)，我啟動(dòng)它，顯示沒有權(quán)限?？葉~~嘆氣！！！
我上看下看，左看右看，這臺(tái)電腦我怎么也看不明白！！！
用最后的方法吧：
找到MS04011溢出的工具，運(yùn)行來溢出，結(jié)果也不行，我也不知道為什么？哪位高人知道，麻煩告訴小弟一聲，小弟的E-mail：[email]lz_yq@126.com[/email]
在資源管理器下還可以用ftp，我就到我的機(jī)器上下載了一個(gè)wollf木馬，自己載xp上運(yùn)行，然后用其他機(jī)器上連接這個(gè)機(jī)器，可以連接上，可是當(dāng)加用戶的時(shí)候，也是提示權(quán)限不夠而導(dǎo)致加不了用戶。
我先看一下我現(xiàn)在是以什么用戶來運(yùn)行的這些程序，可是在“任務(wù)管理器”中，沒有顯示任何用戶登陸，在應(yīng)用程序中，顯示的是：Winlogon通用控制對話。小弟對WINXP沒有研究，還希望哪位高人指教。
現(xiàn)在雖然沒有以任何用戶登陸，但是在資源管理器中可以訪問我的電腦和每個(gè)盤符，就是加了安全限制，只允許管理員訪問的文件夾，這時(shí)也可以訪問。雖然用起來不爽，但是還可以湊合著用！
到此，我所有的招數(shù)已用完，可是提升權(quán)限的目的沒有達(dá)到，而用WINXP的目的還是達(dá)到了。雖然心里高興，可是這樣也不錯(cuò)了。突然，我身后傳來了聲音“還挺辛苦的！”啊！我的老師什么時(shí)間出現(xiàn)在我的身后？？暈死~
結(jié)果，我估計(jì)大家誰也沒猜到答案，因?yàn)槔蠋煾嬖V了我administrator用戶的密碼，居然密碼時(shí)：administrators?
倒~~再次暈死！！！
這樣獲得系統(tǒng)權(quán)限的目的達(dá)到了！！！ 補(bǔ)充：這樣其實(shí)也不是什么破解，是老師告訴了我的管理員密碼，我不甘心，打算一定要自己動(dòng)手，豐衣足食。
下面我接著突破，結(jié)果成功了，也算是是利用了XP默認(rèn)的東西吧。
把cmd.exe改名為logon.scr放到系統(tǒng)盤下覆蓋掉原來的logon.scr以后（這之前一定要備份真正的logon.scr），等帶15分鐘的屏保吧

















本文轉(zhuǎn)自loveme2351CTO博客，原文鏈接：http://blog.51cto.com/loveme23/8564?，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的本地突破XP系统权限的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。