我在學校機房為所欲為

每次在學校的機房里面玩電腦，總是受到太多的限制，僅僅可以進行簡單的網(wǎng)頁瀏覽之類的，想安裝一兩個黑軟來體驗一下都不行，因為沒有管理員的權(quán)限。這兩天在網(wǎng)上看到以前常用的“精銳網(wǎng)吧輔助工具”有了最新的5.9版本，于是想看看工具有了什么更新，下載了一個“精銳網(wǎng)吧輔助工具v5.9”工具，卻發(fā)現(xiàn)依舊無法運行，提示沒有訪問的權(quán)限想不到連一個普通的程序都無法運行!一氣之下，決定破解可惡的權(quán)限限制。

微軟新漏洞巧提權(quán)

微軟在2007年下半年發(fā)布了一個“Windows XP核心驅(qū)動secdrv.sys本地權(quán)限提升漏洞”，利用這個本地溢出漏洞，我們可以獲得本地的最高權(quán)限。

先下載這個漏洞的利用工具“windows LocaPrivilege Escafation Vulnerability Exploit”并解壓后，在命令提示符窗口下進入此文件夾，執(zhí)行溢出程序文件名。可看到程序溢出格式為：

localPrivilege.exe其中“”也就是我們要執(zhí)行的命令或程序名，通過溢出程序執(zhí)行指定的命令或程序，就可讓命令或程序在溢出后以管理員權(quán)限執(zhí)行。例如我們可將剛才下載的“精銳網(wǎng)吧輔助工具v5.9 exe”程序放到與“l(fā)ocalPriviege.exe”同一個文件夾中，執(zhí)行如下命令：

localPrivilege.exe精銳網(wǎng)吧輔助工具v5.9 exe

命令執(zhí)行后，可以看到溢出過程：首先訪問要溢出的驅(qū)動服務，并新建一個執(zhí)行環(huán)境，打開存在漏洞的驅(qū)動后進行溢出，溢出成功后，為指定的程序或命令新建 個管理員權(quán)限的進程。這里執(zhí)行的是“精銳網(wǎng)吧輔助工具v5.9”進程，由于獲得了管理員進程，因此“精銳網(wǎng)吧輔助工具v5.9”可以成功的執(zhí)行了。

雖然每次要運行或安裝什么程序時，可以利用上面的溢出工具來執(zhí)行程序，但是執(zhí)行起來比較麻煩，于是我準備著利用提權(quán)為自己留一個管理員后門。最簡單的辦法就是新建一個管理員帳號，不過以現(xiàn)在的權(quán)限，新建用戶名都會提示錯誤，更別說加用戶到管理員組了。只有繼續(xù)利用溢出工具來留后門了。

在命令行窗口中執(zhí)行命令：

localPrivilege.exe cmd.exe

命令執(zhí)行后，即可自動再打開一個命令提示符窗口，這個命令提示符窗口與剛才的命令提示符窗口是不同的，它具備了最高的SYSTEM權(quán)限。在此窗口就可以正常的執(zhí)行各種命令了，隨意的添加新用戶，提升為管理員。執(zhí)行如下命令：

net user adminstrator 123/add

net looalgroup administrators administrator/add

命令執(zhí)行后，即可創(chuàng)建一個名為“administrator”的管理員帳戶。其密碼為“123”。以后想要無限制的運行各種程序和執(zhí)行操作，可以注銷當前的受限用戶，重新以“administratOr”為用戶名，“123”為密碼，登錄系統(tǒng)即可成功獲得管理員權(quán)限。

讓后門更隱蔽

雖然剛才成功的建立了管理員帳號，但是這個帳號很可能會被機房中的老師刪除掉，我們可以利用以前的克隆方法，將Guest帳號克隆為管理員權(quán)限。在命令行窗口中執(zhí)行命令：

locaIPrivilege.exe.regedt32.exe

打開帶管理員權(quán)限的注冊表編輯器，注意，這里命令中的是“regedt32.exe”，而不是“regedit.exe”。展開注冊表項目“HKEY_LOCAL_MACHlNE\\SAM\\SAM\\Domains\\Account\\Users\\Names\\Guest”，查看右邊窗口中的“默認”對應的值為“1f5”，該項值其對應的是Guest帳戶的SID號。另外，查看注冊表值可知管理員帳戶對應的SlD號為“1f4”。因此，展開“HKEY_LOCAL_MACHlNE\\SAM\\SAM\\Domains\\Account\\Users\\000001F4”項，右鍵點擊此項目，在彈出菜單中選擇“導出”命令，導入為“clonereg”文件。

然后用記事本打開“clone.reg”文件，將其中的“1f4”改為“1f5”，修改完畢后保存文件，再雙擊注冊表文件，將其導入注冊表中。操作完成后，再執(zhí)行如下命令：

ocaIPrivilege.exe.cmd.exe

在新開命令窗口中執(zhí)行：

net user guest 123

net user guest active：yes

命令執(zhí)行完畢后，即可修改Guest密碼為123，并啟用該帳戶。此時Guest雖然顯示處于來賓用戶組，但實際上已經(jīng)具備管理員權(quán)限了，機房的老師根本查看不到任何異狀。以后直接登錄Guest帳戶，即可無限制的執(zhí)行各種操作了。

竊取加密文件

在我所用的電腦上，有一個名為“bak”的文件夾，在打開此文件夾時。提示沒有訪問的權(quán)限。即使以新建的管理員帳號登錄后，也無法打開此文件夾。可以推測其中一定保存有許多重要的文件……

于是我下載了一個叫作WSU 1.0的工具，此工具可以用任何其他用戶或進程的權(quán)限執(zhí)行程序，也可以讓資源管理器具備最高的權(quán)限，從而突破權(quán)限設置，訪問到BAK文件夾中的內(nèi)容。方法很簡單，打開任務管理器。結(jié)束現(xiàn)有的“Explorer.exe”進程。然后在命令提示符窗口下，進入WSU所在的文件夾，執(zhí)行如下命令：

WSU Explorer.exe

命令執(zhí)行后，即可以SYSTEM權(quán)限啟動Explorer進程，現(xiàn)在打開的所有程序，都會擁有最高的系統(tǒng)權(quán)限，甚至可以直接打開硬盤中NTFS分區(qū)里邊的“System Volume Information”文件夾。自然也就能夠成功的訪問“BAK”文件夾了。

在這個隱秘的文件夾中，我居然發(fā)現(xiàn)了機房中各種管理軟件的設置密碼，以及一些學生成績單備份等——機房，就這樣被我輕易的操縱于手了!