我們知道，管理員為了保證終端電腦的安全，都會(huì)批量對(duì)終端進(jìn)行限制，有的甚至只打開(kāi)了80端口，進(jìn)行簡(jiǎn)單的網(wǎng)頁(yè)瀏覽，這對(duì)于需要一些特殊操作或者有安裝軟件需求的朋友來(lái)說(shuō)，因?yàn)闆](méi)有管理員的權(quán)限而無(wú)法完成正常操作。這種原本想部署安全策略的戰(zhàn)術(shù)，是否能夠如愿以償呢？

其實(shí)通過(guò)一些方法，我們完全可以躲過(guò)這種常見(jiàn)的安全防護(hù)。

一、系統(tǒng)漏洞

利用系統(tǒng)漏洞是最直接的方法！微軟在2007年下半年發(fā)布了一個(gè)“Windows XP 核心驅(qū)動(dòng) secdrv.sys 本地權(quán)限提升漏洞”，利用這個(gè)本地溢出漏洞，我們可以獲得本地的最高權(quán)限。

所謂Windows XP 核心驅(qū)動(dòng) secdrv.sys 本地權(quán)限提升漏洞，可以讓任意用戶提升到SYSTEM權(quán)限。該漏洞發(fā)生在驅(qū)動(dòng)程序“secdrv.sys”的 IRP_MJ_DEVICE_CONTROL例程中，因?yàn)槿鄙俦匾膶?duì)必要的參數(shù)進(jìn)行檢查，導(dǎo)致可以寫任意字節(jié)到任意核心內(nèi)存，導(dǎo)致D.o.S或者權(quán)限提升。

該漏洞的利用工具為“Windows Local Privilege Escalation Vulnerability Exploit”，我們解壓后，在命令提示符窗口下進(jìn)入該文件夾，執(zhí)行溢出程序文件名，可看到程序溢出格式為：localPrivilege.exe <command>。

其中“<command>”也就是我們要執(zhí)行的命令或程序名，通過(guò)溢出程序執(zhí)行指定的命令或程序，就可讓命令或程序在溢出后以管理員權(quán)限執(zhí)行。我們可將某個(gè)程序放到與“l(fā)ocalPrivilege.exe”同一個(gè)文件夾中，執(zhí)行如下命令：localPrivilege.exe  notepad.exe。

命令執(zhí)行后，可以看到溢出過(guò)程：首先訪問(wèn)要溢出的驅(qū)動(dòng)服務(wù)，并新建一個(gè)執(zhí)行環(huán)境，打開(kāi)存在漏洞的驅(qū)動(dòng)后進(jìn)行溢出，溢出成功后，為指定的程序或命令新建一個(gè)管理員權(quán)限的進(jìn)程。這里執(zhí)行的是“notepad.exe”進(jìn)程，由于獲得了管理員進(jìn)程，因此“notepad.exe”可以成功的執(zhí)行了。

要知道，我們剛才的操作利用了命令行窗口，如果某些終端上的權(quán)限設(shè)置非常嚴(yán)格，連運(yùn)行cmd命令提示符窗口的權(quán)限都沒(méi)有，此時(shí)該如何做呢？我們可以打開(kāi)記事本程序，在其中書寫溢出命令，然后保存為.bat批處理文件。將批處理文件放在溢出工具所在文件夾中，運(yùn)行批處理程序即可進(jìn)行溢出提權(quán)了。

二、提權(quán)升級(jí)

雖然每次要運(yùn)行或安裝什么程序時(shí)，可以利用上面的溢出工具來(lái)執(zhí)行程序，但是執(zhí)行起來(lái)比較麻煩，如果我們能有一個(gè)管理員帳戶，就更方便了。但新建一個(gè)管理員又談何容易，畢竟是跨級(jí)別操作，新建用戶名都會(huì)提示錯(cuò)誤，更別說(shuō)加用戶到管理員組了。只有繼續(xù)利用溢出工具來(lái)留后門了。

在命令行窗口中執(zhí)行命令：localPrivilege.exe cmd.exe，命令執(zhí)行后，即可自動(dòng)再打開(kāi)一個(gè)命令提示符窗口，這個(gè)命令提示符窗口與剛才的命令提示符窗口是不同的，它具備了最高的SYSTEM權(quán)限。在此窗口就可以正常的執(zhí)行各種命令了，隨意的添加新用戶，提升為管理員。：

net user administrat0r 123 /add
net localgroup administrators administrat0r /add

命令執(zhí)行后，即可創(chuàng)建一個(gè)名為“administrat0r”的管理員帳戶，其密碼為“123”。以后想要無(wú)限制的運(yùn)行各種程序和執(zhí)行操作，可以注銷當(dāng)前的受限用戶，重新以“administrat0r”為用戶名，“123”為密碼，登錄系統(tǒng)即可成功獲得管理員權(quán)限。

三、隱藏后門

為了保障帳號(hào)安全，我們可以利用克隆方法，將Guest帳號(hào)克隆為管理員權(quán)限。在命令行窗口中執(zhí)行命令：localPrivilege.exe regedt32.exe。

打開(kāi)帶管理員權(quán)限的注冊(cè)表編輯器，注意，這里命令中的是“regedt32.exe”，而不是“regedit.exe”。展開(kāi)注冊(cè)表項(xiàng)目“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest”，查看右邊窗口中的“默認(rèn)”對(duì)應(yīng)的值為“1f5”，該項(xiàng)值其對(duì)應(yīng)的是Guest帳戶的SID號(hào)（如圖7）。另外，查看注冊(cè)表值可知管理員帳戶對(duì)應(yīng)的SID號(hào)為“1f4”。因此，展開(kāi)“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4”項(xiàng)，右鍵點(diǎn)擊此項(xiàng)目，在彈出菜單中選擇“導(dǎo)出”命令，導(dǎo)入為“clone.reg”文件。

然后用記事本編輯注冊(cè)表文件，將其中的“1f4”改為“1f5”，修改完畢后保存文件，再雙擊注冊(cè)表文件，將其導(dǎo)入注冊(cè)表中。操作完成后，再執(zhí)行如下命令：
localPrivilege.exe cmd.exe，在新開(kāi)命令窗口中執(zhí)行：

net user guest 123
net user guest active:yes

命令執(zhí)行完畢后，即可修改Guest密碼為123，并啟用該帳戶。此時(shí)Guest雖然顯示處于來(lái)賓用戶組，但實(shí)際上已經(jīng)具備管理員權(quán)限了。

應(yīng)該說(shuō)，本地安全策略在某種意義上并不安全，主要是終結(jié)結(jié)構(gòu)和直觀的操作讓用戶有機(jī)可乘，當(dāng)然，如果我們放棄了本地安全，則會(huì)影響到整個(gè)網(wǎng)絡(luò)，希望通過(guò)本文，可以幫你更好的把控權(quán)限在本地安全中的應(yīng)用。