網(wǎng)絡(luò)后門測(cè)試課件

第6講網(wǎng)絡(luò)后門測(cè)試第6講網(wǎng)絡(luò)后門測(cè)試1企業(yè)工作任務(wù)分析在進(jìn)行滲透測(cè)試時(shí)，一個(gè)重要的工作內(nèi)容就是測(cè)試目標(biāo)系統(tǒng)有沒(méi)有可利用的弱點(diǎn)或漏洞來(lái)種植后門，從而排除相關(guān)的安全隱患。測(cè)試通過(guò)后門進(jìn)入目標(biāo)系統(tǒng)的方式。企業(yè)工作任務(wù)分析在進(jìn)行滲透測(cè)試時(shí)，一個(gè)重要的工作內(nèi)容就是測(cè)試2本講任務(wù)利用telnet服務(wù)開啟后門。利用web服務(wù)開啟后門。利用guest來(lái)賓賬號(hào)開啟后門利用后門遠(yuǎn)程進(jìn)入目標(biāo)系統(tǒng)的方法本講任務(wù)利用telnet服務(wù)開啟后門。3

留后門的方法

41.1什么是網(wǎng)絡(luò)后門網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)鍵策略?？梢酝ㄟ^(guò)建立服務(wù)端口和克隆管理員帳號(hào)來(lái)實(shí)現(xiàn)。留后門的藝術(shù)只要能不通過(guò)正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒(méi)有任何特別的。1.1什么是網(wǎng)絡(luò)后門網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)51.2遠(yuǎn)程啟動(dòng)Telnet服務(wù)利用主機(jī)上的Telnet服務(wù)，有管理員密碼就可以登錄到對(duì)方的命令行，進(jìn)而操作對(duì)方的文件系統(tǒng)。如果Telnet服務(wù)是關(guān)閉的，就不能登錄了。默認(rèn)情況下，Windows2000Server的Telnet是關(guān)閉的，可以在運(yùn)行窗口中輸入tlntadmn.exe命令啟動(dòng)本地Telnet服務(wù)，如圖所示。1.2遠(yuǎn)程啟動(dòng)Telnet服務(wù)利用主機(jī)上的Telnet服務(wù)6啟動(dòng)本地Telnet服務(wù)在啟動(dòng)的DOS窗口中輸入4就可以啟動(dòng)本地Telnet服務(wù)了，如圖所示。啟動(dòng)本地Telnet服務(wù)在啟動(dòng)的DOS窗口中輸入4就可以啟動(dòng)7遠(yuǎn)程開啟目標(biāo)系統(tǒng)的Telnet服務(wù)利用工具RTCS.vbe可以遠(yuǎn)程開啟對(duì)方的Telnet服務(wù)，使用該工具需要知道對(duì)方具有管理員權(quán)限的用戶名和密碼。命令的語(yǔ)法是：“cscriptRTCS.vbe09administrator123456123”，其中cscript是操作系統(tǒng)自帶的命令RTCS.vbe是該工具軟件腳本文件IP地址是要啟動(dòng)Telnet的主機(jī)地址administrator是用戶名123456是密碼1是登錄系統(tǒng)的驗(yàn)證方式23是Telnet開放的端口該命令根據(jù)網(wǎng)絡(luò)的速度，執(zhí)行的時(shí)候需要一段時(shí)間，開啟遠(yuǎn)程主機(jī)Telnet服務(wù)的過(guò)程如圖所示。遠(yuǎn)程開啟目標(biāo)系統(tǒng)的Telnet服務(wù)利用工具RTCS.vbe可8遠(yuǎn)程開啟對(duì)方的Telnet服務(wù)遠(yuǎn)程開啟對(duì)方的Telnet服務(wù)9確認(rèn)對(duì)話框執(zhí)行完成后，對(duì)方的Telnet服務(wù)就被開啟了。在DOS提示符下，登錄目標(biāo)主機(jī)的Telnet服務(wù)，首先輸入命令“Telnet09”，因?yàn)門elnet的用戶名和密碼是明文傳遞的，首先出現(xiàn)確認(rèn)發(fā)送信息對(duì)話框，如下圖所示。確認(rèn)對(duì)話框執(zhí)行完成后，對(duì)方的Telnet服務(wù)就被開啟了。10登錄Telnet的用戶名和密碼輸入字符“y”，進(jìn)入Telnet的登錄界面，需要輸入主機(jī)的用戶名和密碼，如下圖所示。登錄Telnet的用戶名和密碼輸入字符“y”，進(jìn)入Teln11登錄Telnet服務(wù)器如果用戶名和密碼沒(méi)有錯(cuò)誤，將進(jìn)入對(duì)方主機(jī)的命令行，如下圖所示。登錄Telnet服務(wù)器如果用戶名和密碼沒(méi)有錯(cuò)誤，將進(jìn)入對(duì)方12相關(guān)提示：利用opentelnet等其他工具也可以開啟目標(biāo)系統(tǒng)的telnet服務(wù)。注意在開啟遠(yuǎn)程主機(jī)的telnet服務(wù)時(shí)要注意設(shè)置telnet的驗(yàn)證方式為０或１，不用telnet的ＮＴＬＭ驗(yàn)證方式。相關(guān)提示：利用opentelnet等其他工具也可以開啟目標(biāo)系131.3記錄管理員口令修改過(guò)程當(dāng)入侵到對(duì)方主機(jī)并得到管理員口令以后，就可以對(duì)主機(jī)進(jìn)行長(zhǎng)久入侵了，但是一個(gè)好的管理員一般每隔半個(gè)月左右就會(huì)修改一次密碼，這樣已經(jīng)得到的密碼就不起作用了。利用工具軟件Win2kPass.exe記錄修改的新密碼，該軟件將密碼記錄在Winnt\temp目錄下的Config.ini文件中，有時(shí)候文件名可能不是Config，但是擴(kuò)展名一定是ini，該工具軟件是有“自殺”的功能，就是當(dāng)執(zhí)行完畢后，自動(dòng)刪除自己。1.3記錄管理員口令修改過(guò)程當(dāng)入侵到對(duì)方主機(jī)并得到管理員口14記錄管理員口令修改過(guò)程首先在對(duì)方操作系統(tǒng)中執(zhí)行Win2KPass.exe文件，當(dāng)對(duì)方主機(jī)管理員密碼修改并重啟計(jì)算機(jī)以后，就在Winnt\temp目錄下產(chǎn)生一個(gè)ini文件，如圖所示。記錄管理員口令修改過(guò)程首先在對(duì)方操作系統(tǒng)中執(zhí)行Win2KPa151.4建立Web服務(wù)和Telnet服務(wù)

使用工具軟件wnc.exe可以在對(duì)方的主機(jī)上開啟兩個(gè)服務(wù)：Web服務(wù)和Telnet服務(wù)。其中Web服務(wù)的端口是808，Telnet服務(wù)的端口是707。執(zhí)行很簡(jiǎn)單，只要在對(duì)方的命令行下執(zhí)行一下wnc.exe就可以，如圖所示。1.4建立Web服務(wù)和Telnet服務(wù)使用工具軟件wn16建立Web服務(wù)和Telnet服務(wù)執(zhí)行完畢后，利用命令“netstat-an”來(lái)查看開啟的808和707端口，如圖所示。建立Web服務(wù)和Telnet服務(wù)執(zhí)行完畢后，利用命令“net17測(cè)試Web服務(wù)說(shuō)明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供的這兩個(gè)服務(wù)了。首先測(cè)試Web服務(wù)808端口，在瀏覽器地址欄中輸入“09:808”，出現(xiàn)主機(jī)的盤符列表，如圖所示。測(cè)試Web服務(wù)說(shuō)明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供18看密碼修改記錄文件可以下載對(duì)方硬盤設(shè)置光盤上的任意文件（對(duì)于漢字文件名的文件下載有問(wèn)題），可以到Winnt/temp目錄下查看對(duì)方密碼修改記錄文件，如圖所示?？疵艽a修改記錄文件可以下載對(duì)方硬盤設(shè)置光盤上的任意文件（對(duì)19利用telnet命令連接707端口可以利用“telnet09707”命令登錄到對(duì)方的命令行，執(zhí)行的方法如圖所示。利用telnet命令連接707端口可以利用“telnet20登錄到對(duì)方的命令行不用任何的用戶名和密碼就可以登錄對(duì)對(duì)方主機(jī)的命令行，如圖所示。登錄到對(duì)方的命令行不用任何的用戶名和密碼就可以登錄對(duì)對(duì)方主21自啟動(dòng)程序通過(guò)707端口也可以方便的獲得對(duì)方的管理員權(quán)限。wnc.exe的功能強(qiáng)大，但是該程序不能自動(dòng)加載執(zhí)行，需要將該文件加到自啟動(dòng)程序列表中。一般將wnc.exe文件放到對(duì)方的winnt目錄或者winnt/system32目下，這兩個(gè)目錄是系統(tǒng)環(huán)境目錄，執(zhí)行這兩個(gè)目錄下的文件不需要給出具體的路徑。自啟動(dòng)程序通過(guò)707端口也可以方便的獲得對(duì)方的管理員權(quán)限。22將wnc.exe加到自啟動(dòng)列表首先將wnc.exe和reg.exe文件拷貝對(duì)方的winnt目錄下，利用reg.exe文件將wnc.exe加載到注冊(cè)表的自啟動(dòng)項(xiàng)目中，命令的格式為：“reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/dwnc.exe”執(zhí)行過(guò)程如圖所示。將wnc.exe加到自啟動(dòng)列表首先將wnc.exe和reg23修改后的注冊(cè)表如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下對(duì)方的注冊(cè)表的自啟動(dòng)項(xiàng)，已經(jīng)被修改，如圖所示。修改后的注冊(cè)表如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下241.5讓禁用的Guest具有管理權(quán)限

操作系統(tǒng)所有的用戶信息都保存在注冊(cè)表中，但是如果直接使用“regedit”命令打開注冊(cè)表，該鍵值是隱藏的，如圖所示。1.5讓禁用的Guest具有管理權(quán)限操作系統(tǒng)所有的用戶25查看winlogon.exe的進(jìn)程號(hào)可以利用工具軟件psu.exe得到該鍵值的查看和編輯權(quán)。將psu.exe拷貝對(duì)方主機(jī)的C盤下，并在任務(wù)管理器查看對(duì)方主機(jī)winlogon.exe進(jìn)程的ID號(hào)或者使用pulist.exe文件查看該進(jìn)程的ID號(hào)，如圖所示。查看winlogon.exe的進(jìn)程號(hào)可以利用工具軟件psu26執(zhí)行命令該進(jìn)程號(hào)為192，下面執(zhí)行命令“psu-pregedit-ipid”其中pid為Winlogon.exe的進(jìn)程號(hào)，如圖所示。執(zhí)行命令該進(jìn)程號(hào)為192，下面執(zhí)行命令“psu-pre27查看SAM鍵值在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命令以后，自動(dòng)打開了注冊(cè)表編輯器，查看SAM下的鍵值，如圖所示。查看SAM鍵值在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命28查看帳戶對(duì)應(yīng)的鍵值查看Administrator和guest默認(rèn)的鍵值，在Windows2000操作系統(tǒng)上，Administrator一般為0x1f4，guest一般為0x1f5，如圖所示。查看帳戶對(duì)應(yīng)的鍵值查看Administrator和gues29帳戶配置信息根據(jù)“0x1f4”和“0x1f5”找到Administrator和guest帳戶的配置信息，如圖所示。帳戶配置信息根據(jù)“0x1f4”和“0x1f5”找到Admi30拷貝管理員配置信息在圖6-22右邊欄目中的F鍵值中保存了帳戶的密碼信息，雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進(jìn)制信息，將這些二進(jìn)制信息全選，并拷貝到出來(lái)，如圖所示。拷貝管理員配置信息在圖6-22右邊欄目中的F鍵值中保存了帳31覆蓋Guest用戶的配置信息將拷貝出來(lái)的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中，如圖所示。覆蓋Guest用戶的配置信息將拷貝出來(lái)的信息全部覆蓋到“032保存鍵值Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Guest帳戶在禁用的狀態(tài)登錄，下一步將Guest帳戶信息導(dǎo)出注冊(cè)表。選擇User目錄，然后選擇菜單欄“注冊(cè)表”下的菜單項(xiàng)“導(dǎo)出注冊(cè)表文件”，將該鍵值保存為一個(gè)配置文件，如圖所示。保存鍵值Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Gu33刪除Guest帳戶信息打開計(jì)算機(jī)管理對(duì)話框，并分別刪除Guest和“00001F5”兩個(gè)目錄，如圖所示。刪除Guest帳戶信息打開計(jì)算機(jī)管理對(duì)話框，并分別刪除Gu34刷新用戶列表這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出現(xiàn)用戶找不到的對(duì)話框，如圖所示。刷新用戶列表這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出現(xiàn)用戶找不到的35修改Guest帳戶的屬性然后再將剛才導(dǎo)出的信息文件，再導(dǎo)入注冊(cè)表。再刷新用戶列表就不在出現(xiàn)該對(duì)話框了。下面在對(duì)方主機(jī)的命令行下修改Guest的用戶屬性，注意：一定要在命令行下。首先修改Guest帳戶的密碼，比如這里改成“123456”，并將Guest帳戶開啟和停止，如圖所示。修改Guest帳戶的屬性然后再將剛才導(dǎo)出的信息文件，再導(dǎo)入36查看guest帳戶屬性再查看一下計(jì)算機(jī)管理窗口中的Guest帳戶，發(fā)現(xiàn)該帳戶使禁用的，如圖所示。查看guest帳戶屬性再查看一下計(jì)算機(jī)管理窗口中的Gues37利用禁用的guest帳戶登錄注銷退出系統(tǒng)，然后用用戶名：“guest”，密碼：“123456”登錄系統(tǒng)，如圖所示。利用禁用的guest帳戶登錄注銷退出系統(tǒng)，然后用用戶名：“38

遠(yuǎn)程接入技術(shù)

392.1連接終端服務(wù)的軟件終端服務(wù)是Windows操作系統(tǒng)自帶的，可以遠(yuǎn)程通過(guò)圖形界面操縱服務(wù)器。在默認(rèn)的情況下終端服務(wù)的端口號(hào)是3389?？梢栽谙到y(tǒng)服務(wù)中查看終端服務(wù)是否啟動(dòng)，如圖所示。2.1連接終端服務(wù)的軟件終端服務(wù)是Windows操作系統(tǒng)40查看終端服務(wù)的端口服務(wù)默認(rèn)的端口是3389，可以利用命令“netstat-an”來(lái)查看該端口是否開放，如圖所示。查看終端服務(wù)的端口服務(wù)默認(rèn)的端口是3389，可以利用命令“41連接到終端服務(wù)管理員為了遠(yuǎn)程操作方便，服務(wù)器上的該服務(wù)一般都是開啟的。這就給黑客們提供一條可以遠(yuǎn)程圖形化操作主機(jī)的途徑。利用該服務(wù)，目前常用的有二種方法連接到對(duì)方主機(jī)：1、使用Windows2000的遠(yuǎn)程桌面連接工具。2、使用WindowsXP的遠(yuǎn)程桌面連接工具。連接到終端服務(wù)管理員為了遠(yuǎn)程操作方便，服務(wù)器上的該服務(wù)一般422.2二種方法連接到終端服務(wù)第一種方法利用Windows2000自帶的終端服務(wù)工具：mstsc.exe。該工具中只要設(shè)置要連接主機(jī)的IP地址和連接桌面的分辨率就可以，如圖所示。2.2二種方法連接到終端服務(wù)第一種方法利用Windows43終端服務(wù)如果目標(biāo)主機(jī)的終端服務(wù)是啟動(dòng)的，可以直接登錄到對(duì)方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對(duì)方主機(jī)了，如圖6-24所示。終端服務(wù)如果目標(biāo)主機(jī)的終端服務(wù)是啟動(dòng)的，可以直接登錄到對(duì)方的44終端服務(wù)第二種方法是使用WindowsXP自帶的終端服務(wù)連接器：mstsc.exe。界面比較簡(jiǎn)單，只要輸入對(duì)方的IP地址就可以了，如圖所示。終端服務(wù)第二種方法是使用WindowsXP自帶的終端服務(wù)連45小結(jié)利用telnet服務(wù)開啟后門。利用web服務(wù)開啟后門。利用guest來(lái)賓賬號(hào)開啟后門利用后門遠(yuǎn)程進(jìn)入目標(biāo)系統(tǒng)的方法小結(jié)利用telnet服務(wù)開啟后門。46第6講網(wǎng)絡(luò)后門測(cè)試第6講網(wǎng)絡(luò)后門測(cè)試47企業(yè)工作任務(wù)分析在進(jìn)行滲透測(cè)試時(shí)，一個(gè)重要的工作內(nèi)容就是測(cè)試目標(biāo)系統(tǒng)有沒(méi)有可利用的弱點(diǎn)或漏洞來(lái)種植后門，從而排除相關(guān)的安全隱患。測(cè)試通過(guò)后門進(jìn)入目標(biāo)系統(tǒng)的方式。企業(yè)工作任務(wù)分析在進(jìn)行滲透測(cè)試時(shí)，一個(gè)重要的工作內(nèi)容就是測(cè)試48本講任務(wù)利用telnet服務(wù)開啟后門。利用web服務(wù)開啟后門。利用guest來(lái)賓賬號(hào)開啟后門利用后門遠(yuǎn)程進(jìn)入目標(biāo)系統(tǒng)的方法本講任務(wù)利用telnet服務(wù)開啟后門。49

留后門的方法

501.1什么是網(wǎng)絡(luò)后門網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)鍵策略?？梢酝ㄟ^(guò)建立服務(wù)端口和克隆管理員帳號(hào)來(lái)實(shí)現(xiàn)。留后門的藝術(shù)只要能不通過(guò)正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒(méi)有任何特別的。1.1什么是網(wǎng)絡(luò)后門網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)511.2遠(yuǎn)程啟動(dòng)Telnet服務(wù)利用主機(jī)上的Telnet服務(wù)，有管理員密碼就可以登錄到對(duì)方的命令行，進(jìn)而操作對(duì)方的文件系統(tǒng)。如果Telnet服務(wù)是關(guān)閉的，就不能登錄了。默認(rèn)情況下，Windows2000Server的Telnet是關(guān)閉的，可以在運(yùn)行窗口中輸入tlntadmn.exe命令啟動(dòng)本地Telnet服務(wù)，如圖所示。1.2遠(yuǎn)程啟動(dòng)Telnet服務(wù)利用主機(jī)上的Telnet服務(wù)52啟動(dòng)本地Telnet服務(wù)在啟動(dòng)的DOS窗口中輸入4就可以啟動(dòng)本地Telnet服務(wù)了，如圖所示。啟動(dòng)本地Telnet服務(wù)在啟動(dòng)的DOS窗口中輸入4就可以啟動(dòng)53遠(yuǎn)程開啟目標(biāo)系統(tǒng)的Telnet服務(wù)利用工具RTCS.vbe可以遠(yuǎn)程開啟對(duì)方的Telnet服務(wù)，使用該工具需要知道對(duì)方具有管理員權(quán)限的用戶名和密碼。命令的語(yǔ)法是：“cscriptRTCS.vbe09administrator123456123”，其中cscript是操作系統(tǒng)自帶的命令RTCS.vbe是該工具軟件腳本文件IP地址是要啟動(dòng)Telnet的主機(jī)地址administrator是用戶名123456是密碼1是登錄系統(tǒng)的驗(yàn)證方式23是Telnet開放的端口該命令根據(jù)網(wǎng)絡(luò)的速度，執(zhí)行的時(shí)候需要一段時(shí)間，開啟遠(yuǎn)程主機(jī)Telnet服務(wù)的過(guò)程如圖所示。遠(yuǎn)程開啟目標(biāo)系統(tǒng)的Telnet服務(wù)利用工具RTCS.vbe可54遠(yuǎn)程開啟對(duì)方的Telnet服務(wù)遠(yuǎn)程開啟對(duì)方的Telnet服務(wù)55確認(rèn)對(duì)話框執(zhí)行完成后，對(duì)方的Telnet服務(wù)就被開啟了。在DOS提示符下，登錄目標(biāo)主機(jī)的Telnet服務(wù)，首先輸入命令“Telnet09”，因?yàn)門elnet的用戶名和密碼是明文傳遞的，首先出現(xiàn)確認(rèn)發(fā)送信息對(duì)話框，如下圖所示。確認(rèn)對(duì)話框執(zhí)行完成后，對(duì)方的Telnet服務(wù)就被開啟了。56登錄Telnet的用戶名和密碼輸入字符“y”，進(jìn)入Telnet的登錄界面，需要輸入主機(jī)的用戶名和密碼，如下圖所示。登錄Telnet的用戶名和密碼輸入字符“y”，進(jìn)入Teln57登錄Telnet服務(wù)器如果用戶名和密碼沒(méi)有錯(cuò)誤，將進(jìn)入對(duì)方主機(jī)的命令行，如下圖所示。登錄Telnet服務(wù)器如果用戶名和密碼沒(méi)有錯(cuò)誤，將進(jìn)入對(duì)方58相關(guān)提示：利用opentelnet等其他工具也可以開啟目標(biāo)系統(tǒng)的telnet服務(wù)。注意在開啟遠(yuǎn)程主機(jī)的telnet服務(wù)時(shí)要注意設(shè)置telnet的驗(yàn)證方式為０或１，不用telnet的ＮＴＬＭ驗(yàn)證方式。相關(guān)提示：利用opentelnet等其他工具也可以開啟目標(biāo)系591.3記錄管理員口令修改過(guò)程當(dāng)入侵到對(duì)方主機(jī)并得到管理員口令以后，就可以對(duì)主機(jī)進(jìn)行長(zhǎng)久入侵了，但是一個(gè)好的管理員一般每隔半個(gè)月左右就會(huì)修改一次密碼，這樣已經(jīng)得到的密碼就不起作用了。利用工具軟件Win2kPass.exe記錄修改的新密碼，該軟件將密碼記錄在Winnt\temp目錄下的Config.ini文件中，有時(shí)候文件名可能不是Config，但是擴(kuò)展名一定是ini，該工具軟件是有“自殺”的功能，就是當(dāng)執(zhí)行完畢后，自動(dòng)刪除自己。1.3記錄管理員口令修改過(guò)程當(dāng)入侵到對(duì)方主機(jī)并得到管理員口60記錄管理員口令修改過(guò)程首先在對(duì)方操作系統(tǒng)中執(zhí)行Win2KPass.exe文件，當(dāng)對(duì)方主機(jī)管理員密碼修改并重啟計(jì)算機(jī)以后，就在Winnt\temp目錄下產(chǎn)生一個(gè)ini文件，如圖所示。記錄管理員口令修改過(guò)程首先在對(duì)方操作系統(tǒng)中執(zhí)行Win2KPa611.4建立Web服務(wù)和Telnet服務(wù)

使用工具軟件wnc.exe可以在對(duì)方的主機(jī)上開啟兩個(gè)服務(wù)：Web服務(wù)和Telnet服務(wù)。其中Web服務(wù)的端口是808，Telnet服務(wù)的端口是707。執(zhí)行很簡(jiǎn)單，只要在對(duì)方的命令行下執(zhí)行一下wnc.exe就可以，如圖所示。1.4建立Web服務(wù)和Telnet服務(wù)使用工具軟件wn62建立Web服務(wù)和Telnet服務(wù)執(zhí)行完畢后，利用命令“netstat-an”來(lái)查看開啟的808和707端口，如圖所示。建立Web服務(wù)和Telnet服務(wù)執(zhí)行完畢后，利用命令“net63測(cè)試Web服務(wù)說(shuō)明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供的這兩個(gè)服務(wù)了。首先測(cè)試Web服務(wù)808端口，在瀏覽器地址欄中輸入“09:808”，出現(xiàn)主機(jī)的盤符列表，如圖所示。測(cè)試Web服務(wù)說(shuō)明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供64看密碼修改記錄文件可以下載對(duì)方硬盤設(shè)置光盤上的任意文件（對(duì)于漢字文件名的文件下載有問(wèn)題），可以到Winnt/temp目錄下查看對(duì)方密碼修改記錄文件，如圖所示?？疵艽a修改記錄文件可以下載對(duì)方硬盤設(shè)置光盤上的任意文件（對(duì)65利用telnet命令連接707端口可以利用“telnet09707”命令登錄到對(duì)方的命令行，執(zhí)行的方法如圖所示。利用telnet命令連接707端口可以利用“telnet66登錄到對(duì)方的命令行不用任何的用戶名和密碼就可以登錄對(duì)對(duì)方主機(jī)的命令行，如圖所示。登錄到對(duì)方的命令行不用任何的用戶名和密碼就可以登錄對(duì)對(duì)方主67自啟動(dòng)程序通過(guò)707端口也可以方便的獲得對(duì)方的管理員權(quán)限。wnc.exe的功能強(qiáng)大，但是該程序不能自動(dòng)加載執(zhí)行，需要將該文件加到自啟動(dòng)程序列表中。一般將wnc.exe文件放到對(duì)方的winnt目錄或者winnt/system32目下，這兩個(gè)目錄是系統(tǒng)環(huán)境目錄，執(zhí)行這兩個(gè)目錄下的文件不需要給出具體的路徑。自啟動(dòng)程序通過(guò)707端口也可以方便的獲得對(duì)方的管理員權(quán)限。68將wnc.exe加到自啟動(dòng)列表首先將wnc.exe和reg.exe文件拷貝對(duì)方的winnt目錄下，利用reg.exe文件將wnc.exe加載到注冊(cè)表的自啟動(dòng)項(xiàng)目中，命令的格式為：“reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/dwnc.exe”執(zhí)行過(guò)程如圖所示。將wnc.exe加到自啟動(dòng)列表首先將wnc.exe和reg69修改后的注冊(cè)表如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下對(duì)方的注冊(cè)表的自啟動(dòng)項(xiàng)，已經(jīng)被修改，如圖所示。修改后的注冊(cè)表如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下701.5讓禁用的Guest具有管理權(quán)限

操作系統(tǒng)所有的用戶信息都保存在注冊(cè)表中，但是如果直接使用“regedit”命令打開注冊(cè)表，該鍵值是隱藏的，如圖所示。1.5讓禁用的Guest具有管理權(quán)限操作系統(tǒng)所有的用戶71查看winlogon.exe的進(jìn)程號(hào)可以利用工具軟件psu.exe得到該鍵值的查看和編輯權(quán)。將psu.exe拷貝對(duì)方主機(jī)的C盤下，并在任務(wù)管理器查看對(duì)方主機(jī)winlogon.exe進(jìn)程的ID號(hào)或者使用pulist.exe文件查看該進(jìn)程的ID號(hào)，如圖所示。查看winlogon.exe的進(jìn)程號(hào)可以利用工具軟件psu72執(zhí)行命令該進(jìn)程號(hào)為192，下面執(zhí)行命令“psu-pregedit-ipid”其中pid為Winlogon.exe的進(jìn)程號(hào)，如圖所示。執(zhí)行命令該進(jìn)程號(hào)為192，下面執(zhí)行命令“psu-pre73查看SAM鍵值在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命令以后，自動(dòng)打開了注冊(cè)表編輯器，查看SAM下的鍵值，如圖所示。查看SAM鍵值在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命74查看帳戶對(duì)應(yīng)的鍵值查看Administrator和guest默認(rèn)的鍵值，在Windows2000操作系統(tǒng)上，Administrator一般為0x1f4，guest一般為0x1f5，如圖所示。查看帳戶對(duì)應(yīng)的鍵值查看Administrator和gues75帳戶配置信息根據(jù)“0x1f4”和“0x1f5”找到Administrator和guest帳戶的配置信息，如圖所示。帳戶配置信息根據(jù)“0x1f4”和“0x1f5”找到Admi76拷貝管理員配置信息在圖6-22右邊欄目中的F鍵值中保存了帳戶的密碼信息，雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進(jìn)制信息，將這些二進(jìn)制信息全選，并拷貝到出來(lái)，如圖所示。拷貝管理員配置信息在圖6-22右邊欄目中的F鍵值中保存了帳77覆蓋Guest用戶的配置信息將拷貝出來(lái)的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中，如圖所示。覆蓋Guest用戶的配置信息將拷貝出來(lái)的信息全部覆蓋到“078保存鍵值Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Guest帳戶在禁用的狀態(tài)登錄，下一步將Guest帳戶信息導(dǎo)出注冊(cè)表。選擇User目錄，然后選擇菜單欄“注冊(cè)表”下的菜單項(xiàng)“導(dǎo)出注冊(cè)表文件”，將該鍵值保存為一個(gè)配置文件，如圖所示。保存鍵值Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Gu79刪除Guest帳戶信息打開計(jì)算機(jī)管理對(duì)話框，并分別刪除Guest和“00001F5”兩個(gè)目錄，如圖所示。刪除Guest帳戶信息打開計(jì)算機(jī)管理對(duì)話框，并分別刪除Gu80刷新用戶列表這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出現(xiàn)用戶找不到的對(duì)話框，如圖所示。刷新用戶列表這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出現(xiàn)用戶找不到的81修改Guest帳戶的屬性然后再將剛才導(dǎo)出的信息文件，再導(dǎo)入注冊(cè)表。再刷新用戶列表就不在出現(xiàn)該對(duì)話框了。下面在對(duì)方主機(jī)的命令行下修改Guest的用戶屬性，注意：一定要在命令