如果你忘記win2k/xp的系統(tǒng)密碼 再不重裝系統(tǒng)的前提下 你可以嘗試使用 以下方法 進入系統(tǒng) 一，刪除SAM文件 ·什么是SAM文件？ Win2000中對用戶賬戶的安全管理使用了安全賬號管理器SAM(security account manager)的機制,安全賬號管理器對賬號的管理是通過安全標(biāo)識進行的，安全標(biāo)識在賬號創(chuàng)建時就同時創(chuàng)建，一旦賬號被刪除，安全標(biāo)識也同時被刪除。安全標(biāo)識是唯一的，即使是相同的用戶名，在每次創(chuàng)建時獲得的安全標(biāo)識都時完全不同的。因此，一旦某個賬號被刪除，它的安全標(biāo)識就不再存在了，即使用相同的用戶名重建賬號，也會被賦予不同的安全標(biāo)識，不會保留原來的權(quán)限。 安全賬號管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam這個文件。sam文件是windows 2000的用戶賬戶數(shù)據(jù)庫,所有用戶的登錄名及口令等相關(guān)信息都會保存在這個文件中。SAM文件可以認(rèn)為類似于unix系統(tǒng)中的passwd文件,不過沒有unix的passwd文件那么直觀 那么當(dāng)我們忘記密碼的時候，就可以通過刪除SAM文件，快速地進入系統(tǒng)。 這個方法是比較容易的，具體說來又有兩條路可以選擇 1，在本機解決。 如果你裝的是雙系統(tǒng)，最常見的98&win2k，那么你可以進入WIN98，若是Fat格式，直接刪除SAM文件。若是NTFS格式，由于無法直接從98訪問，所以我們需要NTFS for DOS這個軟件（具體操作就不贅述了），借助它，就可以刪除SAM文件了。 如果你只裝了一個Win2000的話，也不用急。 用軟盤啟動，來刪除SAM，F(xiàn)AT就不說了，如果是NTFS格式，加載NTFS for DOS或其它同類軟件，同樣可以刪除SAM文件。 （NTFS for Dos 可以到和http://www.sysinternals.com/去下載） 2，拆硬盤，掛到別的機器上去 如果你不嫌麻煩的話，可以把硬盤拆下來，掛到別的機器上，刪除SAM文件。 二，重裝 這個辦法，恐怕誰都可以想到吧。不過，它確實是最有效的辦法之一，也算是一種思路嘛。（誰？誰在雞蛋扔我？） 三,利用各種漏洞 1，輸入法 看到這個題目，恐怕有人又在找臭雞蛋了吧，（我躲~~）。我開篇已經(jīng)說了，只是提供6種不同的思路。雖然微軟在SP2中已經(jīng)補上了這個漏洞，但是，作為一種方法，必然有它值得學(xué)習(xí)，借鑒之處。“滄海一聲笑”說的好，“漏洞只是一種表現(xiàn)形式,我們應(yīng)該看的是更深一些的東西,比如這個漏洞為什么會有如此大的危害,為什么使用這個漏洞進去會有如此大的權(quán)限?我們能不能在這個漏洞不存在的情況下模擬一個類似的情境?” 用輸入法實現(xiàn)也有兩種途徑： a)利用快捷方式 (1)Windows2000啟動之后，依屏幕提示按下ALT＋CTRL＋DEL進行登錄，在登錄界面將光標(biāo)移至用戶名輸入框，按鍵盤上的Ctrl+Shift鍵進行輸入法的切換，屏幕上出現(xiàn)輸入法狀態(tài)條，在出現(xiàn)的“全拼”輸入法中將鼠標(biāo)移至輸入法狀態(tài)條點擊鼠標(biāo)右鍵，在出現(xiàn)的選單中選擇“幫助”，然后繼續(xù)選擇“輸入法入門”，在窗口頂部會出現(xiàn)幾個按鈕，神奇之處就在這個“選項按鈕”上。 (2)如果系統(tǒng)未安裝Windows2000 ServicePack2或IE5.5，那么現(xiàn)在就可以在“操作指南”窗口上邊的標(biāo)題欄單擊右鍵，選擇“跳至URL”，此時會彈出Windows 2000的系統(tǒng)安裝路徑并要求輸入路徑，輸入c:＼WinNT＼system32(假設(shè)你的Windows 2000安裝在c:＼WinNT下)，按下“確定”，我們就成功地繞過了身份驗證進入系統(tǒng)的system32目錄。 (3)在system32目錄下找到“net.exe”，用鼠標(biāo)右鍵單擊并選擇“創(chuàng)建快捷方式”；右鍵單擊該快捷方式，在“屬性”/“快捷方式”/“目標(biāo)”里輸入“c:＼winnt＼system32＼net.exe user Security Art/ADD”，然后點擊“確定”。 這一步的作用就是用Net.exe創(chuàng)建一個Security用戶，密碼為Art(注意大小寫)，雙擊該快捷方式即完成了用戶的添加。 (4)這步，我們把Security用戶添加到Administrators(管理員組中)，同樣把Net.exe的快捷方式目標(biāo)修改為“c:＼winnt＼system32＼net.exe LOCALGROUP Administrators Security/ADD”，雙擊執(zhí)行。 (5)成功了！可以用Security用戶登錄，修改你原先用戶的密碼（這回不要再忘了哦:-)，最好刪除掉這個security用戶。 利用文件類型編輯創(chuàng)建管理員用戶 此處同上個方法的(1)； (1)右擊"選項"按鈕,選擇"跳至url"； (2)在跳至URL上添上"c:\"； (3)幫助的右邊會進入c:\； (4)按幫助上的"選項"按鈕； (5)選"internet"選項.會啟動文件類型編輯框； (6)新建一個文件類型,如一個art文件類型,在跳出的文件后綴中添上"art"，點確定； (7)選中文件類型框中的"art"文件類型,點擊下面的"高級按鈕",就會出現(xiàn)文件操作對話框； (8)新建一種文件操作,操作名任意寫,如"abc"； (9)這步操作要執(zhí)行的命令如下: C:\WINNT\system32\cmd.exe /c net user Security ART /add C:\WINNT\system32\cmd.exe /c net localgroup administrators Security /add 完成,退出； (10)將c:\的某個文件如"abc.txt"改為"abc.txt.art",然后雙擊打開這個文件； (11)通常這個文件是打不開的,系統(tǒng)運行一會便沒有了提示,但這時我們已經(jīng)將用戶Security加上了,權(quán)限是administrator； (12)返回,重新以Security用戶登錄,修改你原先用戶的密碼。建議刪除掉security用戶。 利用下面幾種漏洞來提升權(quán)限的前提是，除了管理員賬戶，你還有其他的用戶可以登錄進入系統(tǒng)。然后設(shè)法提升權(quán)限 2，PipeUpAdmin: 這個程序在本機運行可以把當(dāng)前用戶賬號加入管理員組，普通用戶和Guests組用戶就可以成功運行； 3，Debug漏洞：WINDOWS 2K 存在一個利用 Debug Registers 提升權(quán)限的漏洞。如果攻擊者能在 WIN2K 中運行程序，利用此漏洞，他至少能取得對 %Windir%\SYSTEM32 和 注冊表HKCR 的寫權(quán)。因為x86 Debug Registers DR0-7對于所有進程都是全局共享的，因此在一個進程中設(shè)置硬件斷點，將影響其它進程和服務(wù)程序。 4，NETwork DDE漏洞：利用 Windows 2000 的 Network DDE DSDM 服務(wù)漏洞普通用戶可以LocalSystem身份執(zhí)行任意程序，可以借此更改密碼、添加用戶等。Guests組用戶也可以成功利用該漏洞。 但是需要注意的是，這個服務(wù)缺省沒有啟動，需要啟動這個服務(wù) 5，本地溢出：雖然Windows 2000 有很多程序有溢出漏洞，但是這些程序不是總在運行，因此被利用的可能性還是比較小的。 例如：Windows 2000 的靜態(tài)圖像服務(wù)就有一個溢出漏洞，利用該漏洞，攻擊者可以獲得系統(tǒng)權(quán)限。 四，利用恢復(fù)軟件 這里介紹兩種軟件：Offline NT Password Editor和O&O Bluecon 2000. 1，首先，我們來看Offline NT Password editor 下載：http://home.eunet.no/~pnordahl/ntpasswd 先將下載來的文件解壓，解壓后得到的是一個bin類型的文件。其實這個bin文件是一張軟盤的映像文件。先準(zhǔn)備好一張格式化過的軟盤，接著用Winimage軟件打開那個bin文件，然后選擇“Disk”菜單下的“Write disk”，這樣，Winimage就把軟盤映像的內(nèi)容恢復(fù)到軟盤上了。 接觸過Linux系統(tǒng)的朋友會發(fā)現(xiàn)軟盤中的文件包含有Linux系統(tǒng)啟動盤的一些文件。其實，這個軟盤可以算是一個“精簡的Linux系統(tǒng)”。 用軟盤啟動電腦后，將會進入一個Linux環(huán)境下，在這個環(huán)境下，提供對NTFS磁盤格式支持，并自動開始運行那個可以更改NT/2000用戶密碼的程序。 具體過程： 用軟盤啟動后，我們可以看到很多Linux啟動的輸出信息，看到了吧，這個“精簡的Linux系統(tǒng)”的名字是SysLinux。 然后就是軟件的版權(quán)聲明，并指出軟件在NT3.51,NT4.0,Windows2000 Professional & Advanced Server RC2下測試通過，而使用了Active Directory的Windows2000系統(tǒng)沒有測試。 　　接下來，系統(tǒng)提示“Do you have your NT disks on a SCSI controllers?”,問你NT系統(tǒng)是否安裝在SCSI硬盤上，看你的具體情況，一般這里輸入“n”。系統(tǒng)就開始檢測硬盤以及硬盤分區(qū)，并把檢測結(jié)果以Linux下的方式表示出來，在出 現(xiàn)提示字串后敲回車?yán)^續(xù)。 系統(tǒng)提示“Select what you want to do:1-set passwords[default] 2-Edit registry”,我們的目的是更改管理員的密碼，所以，輸入數(shù)字“1”，Enter。 接著提示“what is the full path to the registry directory?”,詢問注冊表存放路徑，默認(rèn)的應(yīng)該是“winnt/system32/config”，如果你原來安裝系統(tǒng)的時候改變了路徑，那么請按照你的實際情況更改路徑后回車?yán)^續(xù)。 接著出現(xiàn)“which hids(files) do you want to edit (leave default for password setting,separate multiple name with space)”,回車，然后會把所有用戶的賬號列出，并詢問“do you really wish to disalbe syskey(y/n)”，輸入“n”,回車。提示“Username to change (! to quit,. to users):”，輸入“administrator”（假設(shè)你的管理員賬號是 administrator），回車后“Please enter new password”按提示，你可以輸入“Administrator”賬號的新密碼，再問一次“Do you really wish to change it?(y/n)”，輸入“y”確定并回車。系統(tǒng)最后問你“About to write files back！ Do it?”（有點羅嗦吧，呵呵），輸入“y”確認(rèn)后，系統(tǒng)提示，按“Cltrl-Alt-del”三鍵重新啟動系統(tǒng)。 　　好了，啟動系統(tǒng)后，已經(jīng)可以用我們修改好的密碼登錄 2，O&O Bluecon 2000 下載地址： http://www.oosoft.com 用O&O Bluecon 2000修改本地管理員密碼的步驟如下: 第1步，制作工具盤. (1)制作四張Windows2000安裝啟動盤 (2)啟動O&O BlueCon 2000軟件的"O&O BootWizard"，修改制作好的安裝軟盤(只修改第1張和第4張),分四步做 。 (3)第一步Select Boot Device詢問使用哪一種方式來引導(dǎo)系統(tǒng),是Floppy，還是CD-ROM,選擇Floppy(4 disk required),按“下一步”; (4)第二步Select Options會詢問我們是不是創(chuàng)建Windows2000安裝啟動盤,因為我們剛才就創(chuàng)建了,因此不選,按“下一步”; (5)第三步Patch Disk 1和Patch Disk 4,會提示你依次插入第1張和第4張進行修改操作。按屏幕提示完成工具盤制作。 第2步，修改本地管理員密碼 我們先來看看O&O支持的命令,總共28個,可以通過在"A:\>"提示符下用"?"或"help"命令查看.這里我只列出幾個 比較重要的: passwd:修改密碼 backup:備份注冊表 edlin:文本編輯工具 reboot:重新啟動機器 regedit:編輯注冊表 service:顯示/啟動/禁止服務(wù) scopy或scp:文件復(fù)制,（可以復(fù)制文件的安全屬性） user:顯示操作系統(tǒng)的用戶 vmap:顯示當(dāng)前卷的信息 我們具體來操作一次，實踐出真知嘛，:-): 首先，將第1張軟盤插入軟驅(qū)中,重新啟動機器,以軟盤引導(dǎo)系統(tǒng),依提示依次插入這4張盤,安裝界面之后，系統(tǒng)會提示&O Bluecon 2000 V2.0 Build 256 - English Keyboard ? 2000 O&O Software GmbH. Allright reserved. A:\> 依上面命令的介紹，我們可以用Passwd命令對SAM數(shù)據(jù)庫賬號的密碼進行修改,通過Passwd/?我們可以得到Passwd命令的用法，如下: Passwd [] Passwd命令中Password參數(shù)是可選的,如果你不輸入該賬號的密碼,那么該賬號的密碼將被清空。 假設(shè)我們忘掉的管理員賬號是Administrator,我們現(xiàn)在要Administrator的密碼修改為Sowhat,操作如下： A:\>Passwd Administrator Sowhat 回車之后，如果你當(dāng)前系統(tǒng)中存在多個操作系統(tǒng),系統(tǒng)會提示你要修改哪個操作系統(tǒng)的管理員密碼，如下: Please choose a system to logon 1. "Microsoft Windows 2000 Server" /fastdetect 2. "Microsoft Windows 2000 Advanced Server" /fastdetect 選擇我們需要修改的系統(tǒng),假如是我們選1,修改Windows2000 server的管理員密碼.之后，系統(tǒng)提示"Password was successfully changed"，哈，恭喜，密碼修改成功了！ 唯一遺憾之處就是， 如果你的O&O軟件不是完全版而只是未注冊版的話,那系統(tǒng)會提示管理員的密碼是只讀的,不能夠進行修改。（哪位仁兄有crack版的話，可以共享出來哦，謝謝） 五，巧妙利用屏幕保護程序 我們都知道，通常情況下，如果系統(tǒng)啟動出現(xiàn)登錄邀請框后，15分鐘內(nèi)不登錄的話,win2k會啟動屏幕保護程序logon.scr,這個程序位于c:\winnt\system32下,屏幕上出現(xiàn)win2000標(biāo)志。 具體過程：拆下你的硬盤，掛到別的機子上，然后將logon.scr改名，隨便改嘍，如改成logon.art，之后，我們把c:\winnt目錄下explorer.exe復(fù)制一份，放到c:\winnt\system32下，用它來代替logon.scr，就是說，把它改成logon.scr。 好了，現(xiàn)在把硬盤重新裝到你的機子上，重新啟動機器,出現(xiàn)登錄對話框后，請不要登錄,等待大約15分鐘之后,系統(tǒng)就會去調(diào)用屏幕保護程序,但是，經(jīng)過我們做手腳以后，出現(xiàn)的不是windows 2000的標(biāo)志，而是一個資源管理器,定位在c:\下,發(fā)什么楞？現(xiàn)在該怎么做，不用我教你了吧，如果你認(rèn)真看了剛才怎樣利用輸入法漏洞的話。（這大概算一個“模擬輸入法漏洞情景”吧） 可能有朋友會說，既然，硬盤都掛到其它機器上了，為什么不通過刪除sam的方法呢？說的對，刪sam是更簡單點。 但之所以不刪SAM，有兩個原因，[1]我開篇就說過了，只是提供一種思路，開拓思維。[2]刪除SAM后帶來的一大堆后遺癥，在這里也可以避免。 另外，有朋友提議，用cmd.exe去調(diào)換logon.scr，而不是用explorer.exe去換，能有這個想法，很漂亮。 六，啟動腳本 這里，我們假設(shè)現(xiàn)有win2000的系統(tǒng)分區(qū)為C:，拆下硬盤，然后掛接到其它Win2000機器。這時這塊盤假設(shè)為H: 下面，讓我們一起來看看，具體如何通過啟動腳本來恢復(fù)管理員密碼， 首先，寫一個批處理文件recovery.bat,內(nèi)容很簡單，一行而已： net user administrator security （假設(shè)當(dāng)前的管理員是administrator,將它的密碼恢復(fù)為"security"）。然后，將文件recovery.bat保存到"H:\winnt\system32\GroupPolicy\Machine\Scripts\Startup"下,其實就是我們原來機子的"C:\winnt\system32\GroupPolicy\Machine\Scripts\Startup"下。 然后，再編寫一個啟動/關(guān)機腳本配置文件scripts.ini,（這個文件名是固定的,不能改變哦）。內(nèi)容如下: [Startup] 0CmdLine=recovery.bat 0Parameters= 將文件scripts.ini保存到"H:\winnt\system32\GroupPolicy\Machine\Scripts"下,也就是故障計算機原來的"C :\winnt\system32\GroupPolicy\Machine\Scripts"下。 這時，我們可以將硬盤恢復(fù)為主盤,接到原來的機子上,重啟,等待啟動腳本運行。 啟動腳本運行結(jié)束后，administrator的密碼就被恢復(fù)為"security"了。 那么，如果我們想要創(chuàng)建一個管理員賬號,該怎么辦呢？ 很簡單，把recovery.bat文件的內(nèi)容改為: net user Sowhat security /add net localgroup administrators Sowhat /add 搞定，這個"Sowhat",密碼是"security"的賬號就建立了，并且是管理員權(quán)限。 另外還附上袁哥在NSFOCUS BBS上提出的一個方法,具體我沒有測試過. 1。編譯下面代碼： #include #include int main(int argc, char **argv) { int i; char buff[0x1000]; system("net.exe user 1234 1234 /add"); system("net.exe LOCALGROUP Administrators 1234 /add"); strcpy(buff,"svchost1.exe"); for(i=1;i

發(fā)表于 2006-07-12 11:55 牧月人 閱讀(729) 評論(0)  編輯  收藏 所屬分類: 系統(tǒng)，硬件區(qū)