Microsoft Windows NT2000XP2003 RPC DCOM 缓冲区溢出漏洞 (MS03-26) 如何利用工具提权

一个后门软件Backdoor/Agobot.aky “高波变种”aky是一个经UPX压缩，主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限，允许黑客利用IRC通道远程进入用户计算机。该程序运行后，程序文件自我复制到系统目录下，并修改注册表，以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道，侦听黑客指令。黑客通过该后门在用户计算机上可进行的操作有：安装并升级病毒程序；下载并运行指定文件；盗取用户系统信息并发送给作者等。利用程序自带的密码字典破解网络共享弱密码。盗取黑客所指定的多种游戏的序列号，终止某些防火墙及杀毒软件的进程。该程序可执行DoS攻击。我想这可能是你需要的，希望能帮到你~~

1、脚本恢复法：Windows XP启动脚本（startup scripts）是计算机在登录屏幕出现之前运行的批处理文件，它的功能类似于Windows 9x和DOS中的自动执行批处理文件autoexec.bat。利用这个特性，可以编写一个批处理文件重新设置用户密码，并将它加入启动脚本中，这样就达到了恢复密码的目的。以下是具体步骤（假设系统目录为C：Windows）：

使用Windows 98启动盘启动电脑，编写一个能恢复密码的批处理文件a.bat，内容只需要一条“net user”命令即可。如“Net user hello 123456”，这条命令的意思是将用户guozy的密码设置为“123456”。然后将文件a.bat保存到“C:\windows\system32\GroupPolicy\MachineScripts\Startup”下。编写一个启动/关机脚本配置文件scripts.ini，这个文件名是固定的，不能改变。内容如下：

[Startup]

0CmdLine=a.bat

0Parameters=

将文件scripts.ini保存到“C:\winnt\system32\GroupPolicy\MachineScripts”下。scripts.ini保存着计算机启动/关机脚本的设置数据，文件内容通常包含两个数据段：[Startup]和[Shutdown]。[Startup]数据段下是启动脚本配置，[Shutdown]数据段下是关机脚本配置。每个脚本条目被分成脚本名和脚本参数两部分存储，脚本名保存在XCmdLine关键字下，参数保存在XParameters关键字下，这里的X表示从0开始的脚本序号，以区别多个脚本条目和标志各脚本条目的运行顺序。

取出Windows 98启动盘，重新启动电脑，等待启动脚本运行。启动脚本运行结束后用户hello的密码就被恢复为“123456”。合并登录成功后删除上述步骤建立的两个文件即可。

2、软件修改：Passware Kit Enterprise这款软件可以自动把administrator密码修改为12345，重启系统后用此账号登录，然后在“控制面板”用户中，再重新修改管理员密码即可。 Passware Kit Enterprise可以找回多种办公室应用程序档案失去或忘记的密码，包括Excel、Word、Windows 2003/XP/2K/NT、Lotus Notes、RAR、 WinZip、Access、Outlook、Acrobat、Quicken、QuickBooks、WordPerfect以及VBA，在此我们只需要使用其中的Windows KEY功能。

Windows KEY运行后，主界面如图3所示，在软驱中放一张空白软盘（注意：必须是空白软盘，否则不能继续操作），生成一张恢复系统管理员的密码盘，其中共3个文件，分别是Txtsetup.oem、Winkey.sys和Winkey.inf，共417KB。现在用Windows XP安装光盘启动电脑，启动过程中按F6键让系统采用第三方驱动程序。此时，放入该软盘就会自动跳到Windows KEY的界面。这时它会强行把administrator的密码换成“12345”。当你重新启动以后，就要求再次修改密码。

暴力删除法

1、直接删除SAM文件：WINDOWS XP/2000的密码是保存在SAM文件里面的所以在我们暴力删除法中要删除的就是这个文件了。在WINDWOS 2000操作系统该文件的路径为x:\WinNT\System32\CONFIG下，而XP系统中这是在x:\Windows\System32\CONFIG下（如图）。SAM文件即账号密码数据库文件。当我们登陆系统时，系统会自动地和Config中的SAM校对，如发现此次密码和用户名与SAM文件中的加密数据全都符合时，你就会顺利登陆；如果错误则无法登陆。

在文件系统是FAT32的情况下，此时我们只需要有一张WINDOWS 98的启动盘，那末所有的问题就解决了。用Windows 98启动盘启动电脑，然后删除SAM文件后，再重新启动，此时管理员administrator账号已经没有密码了，这时你可以用administrator账户登录系统，进入系统后再重新设置你的管理员账户密码即可。 但是如果是NTFS文件系统的话则需要小费一点劲。如果有两个操作系统的话，可以使用另外一个访问NTFS的操作系统启动电脑，或者将这块硬盘以从盘模式挂接到其它能识别NTFS文件系统（如Windows 2000或Windows XP）的计算机上，删除SAM文件，重新启动即可。当然如果你能找到牛人做的支持NTFS分区的DOS启动盘这个问题也可以解决。

2、屏保破解法：这个方法是利用当系统在长时间没有动作时，启动屏幕保护程序的特点，前提是我们还是需要有一张启动盘，我们可以把“%systemroot%system32logon.scr”替换为“cmd.exe”或者“explorer.exe”，然后在系统登陆处等待，过一会，系统就会去运行“logon.scr”这个屏保，因为你替换了这个屏保文件，所以实际上运行的是“cmd.exe”或者“explorer.exe”，并且是“localsystem”权限，现在你就可以破解密码了。最简单的就是在“cmd.exe”里运行“net user administrator”，成功后管理员密码也被清空，这样我们就删除了管理员帐户的密码了。这下高兴了吧你可以尽情登陆了！

总结：在这里我们一共介绍了四种破解管理员帐户的方法，当然仅限于比较方便的几种，还有利用系统漏洞的一些方法由于比较复杂我们在这里就不介绍了。而朋友们知道了这些方法之后也不要用在不正当的地方，比如说窥人隐私什么的，笔者可不负责阿！笔者只是本着一种让大家方便的原则哦

不属于。Churrasco.exe（巴西烤肉）是Windows2003系统下的一个本地提权漏洞利用工具，不属于平台漏洞。通过此工具可以以SYSTEM权限执行命令，从而可以达到添加用户的目的。

---