有兩句話��,叫做“常在河邊走,哪能不濕鞋”“常在江湖走�,難免不挨刀”���。跟我這篇文章的主題結合起來�,常和Win2K Server打交道��,誰敢保證哪天不會忘了管理員密碼呢��?如果����,萬一����,不幸��,你就是那個“倒霉蛋”��,怎么辦���?
不要急,所謂“眾人拾柴火焰高”���,我參考了前人的各種方法并結合自己的經(jīng)驗�,特撰寫此文�����,希望能夠幫你解決這個難題.
要找回管理員密碼����,方法很多,大致有以下6種思路(有些方法可能只在某些情形下有效)
一�����,刪除SAM文件
·什么是SAM文件?
Win2000中對用戶賬戶的安全管理使用了安全賬號管理器SAM(security account manager)的機制,安全賬號管理器對賬號的管理是通過安全標識進行的�����,安全標識在賬號創(chuàng)建時就同時創(chuàng)建���,一旦賬號被刪除���,安全標識也同時被刪除。安全標識是唯一的�����,即使是相同的用戶名���,在每次創(chuàng)建時獲得的安全標識都時完全不同的����。因此����,一旦某個賬號被刪除�,它的安全標識就不再存在了��,即使用相同的用戶名重建賬號�����,也會被賦予不同的安全標識����,不會保留原來的權限。
安全賬號管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam這個文件�����。sam文件是windows 2000的用戶賬戶數(shù)據(jù)庫,所有用戶的登錄名及口令等相關信息都會保存在這個文件中�。SAM文件可以認為類似于unix系統(tǒng)中的passwd文件,不過沒有unix的passwd文件那么直觀
那么當我們忘記密碼的時候����,就可以通過刪除SAM文件,快速地進入系統(tǒng)���。
這個方法是比較容易的�,具體說來又有兩條路可以選擇
1�,在本機解決。
如果你裝的是雙系統(tǒng),最常見的98&win2k�,那么你可以進入WIN98,若是Fat格式����,直接刪除SAM文件。若是NTFS格式�����,由于無法直接從98訪問�����,所以我們需要NTFS for DOS這個軟件(具體操作就不贅述了)���,借助它�,就可以刪除SAM文件了��。
如果你只裝了一個Win2000的話����,也不用急。
用軟盤啟動��,來刪除SAM,F(xiàn)AT就不說了�,如果是NTFS格式,加載NTFS for DOS或其它同類軟件��,同樣可以刪除SAM文件�。
(NTFS for Dos 可以到和http://www.sysinternals.com/去下載)
2,拆硬盤�����,掛到別的機器上去
如果你不嫌麻煩的話�,可以把硬盤拆下來,掛到別的機器上���,刪除SAM文件�����。
二,重裝
這個辦法��,恐怕誰都可以想到吧�����。不過,它確實是最有效的辦法之一���,也算是一種思路嘛���。(誰?誰在雞蛋扔我���?)
三,利用各種漏洞
1�����,輸入法
看到這個題目����,恐怕有人又在找臭雞蛋了吧�,(我躲~~)。我開篇已經(jīng)說了�����,只是提供6種不同的思路���。雖然微軟在SP2中已經(jīng)補上了這個漏洞�,但是,作為一種方法�����,必然有它值得學習���,借鑒之處��?��!皽婧R宦曅Α闭f的好,“漏洞只是一種表現(xiàn)形式,我們應該看的是更深一些的東西,比如這個漏洞為什么會有如此大的危害,為什么使用這個漏洞進去會有如此大的權限?我們能不能在這個漏洞不存在的情況下模擬一個類似的情境?”
用輸入法實現(xiàn)也有兩種途徑:
a)利用快捷方式
(1)Windows2000啟動之后���,依屏幕提示按下ALT+CTRL+DEL進行登錄���,在登錄界面將光標移至用戶名輸入框,按鍵盤上的Ctrl+Shift鍵進行輸入法的切換�����,屏幕上出現(xiàn)輸入法狀態(tài)條�,在出現(xiàn)的“全拼”輸入法中將鼠標移至輸入法狀態(tài)條點擊鼠標右鍵�,在出現(xiàn)的選單中選擇“幫助”����,然后繼續(xù)選擇“輸入法入門”���,在窗口頂部會出現(xiàn)幾個按鈕��,神奇之處就在這個“選項按鈕”上�。
(2)如果系統(tǒng)未安裝Windows2000 ServicePack2或IE5.5��,那么現(xiàn)在就可以在“操作指南”窗口上邊的標題欄單擊右鍵����,選擇“跳至URL”,此時會彈出Windows 2000的系統(tǒng)安裝路徑并要求輸入路徑���,輸入c:\WinNT\system32(假設你的Windows 2000安裝在c:\WinNT下)���,按下“確定”,我們就成功地繞過了身份驗證進入系統(tǒng)的system32目錄���。
(3)在system32目錄下找到“net.exe”�,用鼠標右鍵單擊并選擇“創(chuàng)建快捷方式”��;右鍵單擊該快捷方式,在“屬性”/“快捷方式”/“目標”里輸入“c:\winnt\system32\net.exe user Security Art/ADD”�����,然后點擊“確定”�����。
這一步的作用就是用Net.exe創(chuàng)建一個Security用戶����,密碼為Art(注意大小寫),雙擊該快捷方式即完成了用戶的添加���。
(4)這步����,我們把Security用戶添加到Administrators(管理員組中)����,同樣把Net.exe的快捷方式目標修改為“c:\winnt\system32\net.exe LOCALGROUP Administrators Security/ADD”,雙擊執(zhí)行��。
(5)成功了�����!可以用Security用戶登錄����,修改你原先用戶的密碼(這回不要再忘了哦:-),最好刪除掉這個security用戶����。
b)利用文件類型編輯創(chuàng)建管理員用戶
此處同上個方法的(1);
(1)右擊"選項"按鈕,選擇"跳至url"�;
(2)在跳至URL上添上"c:\";
(3)幫助的右邊會進入c:\���;
(4)按幫助上的"選項"按鈕����;
(5)選"internet"選項.會啟動文件類型編輯框���;
(6)新建一個文件類型,如一個art文件類型,在跳出的文件后綴中添上"art"�����,點確定�����;
(7)選中文件類型框中的"art"文件類型,點擊下面的"高級按鈕",就會出現(xiàn)文件操作對話框��;
(8)新建一種文件操作,操作名任意寫,如"abc"��;
(9)這步操作要執(zhí)行的命令如下:
C:\WINNT\system32\cmd.exe /c net user Security ART /add C:\WINNT\system32\cmd.exe /c net localgroup administrators Security /add
完成,退出����;
(10)將c:\的某個文件如"abc.txt"改為"abc.txt.art",然后雙擊打開這個文件;
(11)通常這個文件是打不開的,系統(tǒng)運行一會便沒有了提示,但這時我們已經(jīng)將用戶Security加上了,權限是administrator����;
(12)返回,重新以Security用戶登錄,修改你原先用戶的密碼。建議刪除掉security用戶��。
利用下面幾種漏洞來提升權限的前提是����,除了管理員賬戶,你還有其他的用戶可以登錄進入系統(tǒng)��。然后設法提升權限
2����,PipeUpAdmin: 這個程序在本機運行可以把當前用戶賬號加入管理員組��,普通用戶和Guests組用戶就可以成功運行����;
3�����,Debug漏洞:WINDOWS 2K 存在一個利用 Debug Registers 提升權限的漏洞����。如果攻擊者能在 WIN2K 中運行程序�����,利用此漏洞���,他至少能取得對 %Windir%\SYSTEM32 和 注冊表HKCR 的寫權��。因為x86 Debug Registers DR0-7對于所有進程都是全局共享的�����,因此在一個進程中設置硬件斷點���,將影響其它進程和服務程序����。
4�����,NETwork DDE漏洞:利用 Windows 2000 的 Network DDE DSDM 服務漏洞普通用戶可以LocalSystem身份執(zhí)行任意程序�,可以借此更改密碼、添加用戶等�����。Guests組用戶也可以成功利用該漏洞�����。 但是需要注意的是���,這個服務缺省沒有啟動����,需要啟動這個服務
5,本地溢出:雖然Windows 2000 有很多程序有溢出漏洞�,但是這些程序不是總在運行,因此被利用的可能性還是比較小的��。
例如:Windows 2000 的靜態(tài)圖像服務就有一個溢出漏洞����,利用該漏洞,攻擊者可以獲得系統(tǒng)權限����。
四���,利用恢復軟件
這里介紹兩種軟件:Offline NT Password Editor和O&O Bluecon 2000.
1����,首先�����,我們來看Offline NT Password editor
下載:http://home.eunet.no/~pnordahl/ntpasswd ;
先將下載來的文件解壓���,解壓后得到的是一個bin類型的文件��。其實這個bin文件是一張軟盤的映像文件����。先準備好一張格式化過的軟盤,接著用Winimage軟件打開那個bin文件����,然后選擇“Disk”菜單下的“Write disk”,這樣��,Winimage就把軟盤映像的內(nèi)容恢復到軟盤上了���。
接觸過Linux系統(tǒng)的朋友會發(fā)現(xiàn)軟盤中的文件包含有Linux系統(tǒng)啟動盤的一些文件����。其實���,這個軟盤可以算是一個“精簡的Linux系統(tǒng)”��。
用軟盤啟動電腦后���,將會進入一個Linux環(huán)境下,在這個環(huán)境下�����,提供對NTFS磁盤格式支持,并自動開始運行那個可以更改NT/2000用戶密碼的程序��。
具體過程:
用軟盤啟動后�,我們可以看到很多Linux啟動的輸出信息,看到了吧����,這個“精簡的Linux系統(tǒng)”的名字是SysLinux。
然后就是軟件的版權聲明�����,并指出軟件在NT3.51,NT4.0,Windows2000 Professional & Advanced Server RC2下測試通過��,而使用了Active Directory的Windows2000系統(tǒng)沒有測試�。
接下來�����,系統(tǒng)提示“Do you have your NT disks on a SCSI controllers?”,問你NT系統(tǒng)是否安裝在SCSI硬盤上�,看你的具體情況,一般這里輸入“n”�。系統(tǒng)就開始檢測硬盤以及硬盤分區(qū)�,并把檢測結果以Linux下的方式表示出來����,在出
現(xiàn)提示字串后敲回車繼續(xù)。
系統(tǒng)提示“Select what you want to do:1-set passwords[default] 2-Edit registry”,我們的目的是更改管理員的密碼���,所以�����,輸入數(shù)字“1”�,Enter����。
接著提示“what is the full path to the registry directory?”,詢問注冊表存放路徑,默認的應該是“winnt/system32/config”����,如果你原來安裝系統(tǒng)的時候改變了路徑,那么請按照你的實際情況更改路徑后回車繼續(xù)�。
接著出現(xiàn)“which hids(files) do you want to edit (leave default for password setting,separate multiple name with space)”,回車,然后會把所有用戶的賬號列出�,并詢問“do you really wish to disalbe syskey(y/n)”,輸入“n”,回車。提示“Username to change (! to quit,. to users):”�,輸入“administrator”(假設你的管理員賬號是 administrator),回車后“Please enter new password”按提示���,你可以輸入“Administrator”賬號的新密碼�����,再問一次“Do you really wish to change it?(y/n)”�,輸入“y”確定并回車���。系統(tǒng)最后問你“About to write files back�����! Do it?”(有點羅嗦吧�,呵呵)��,輸入“y”確認后���,系統(tǒng)提示,按“Cltrl-Alt-del”三鍵重新啟動系統(tǒng)�。
好了,啟動系統(tǒng)后��,已經(jīng)可以用我們修改好的密碼登錄
2,O&O Bluecon 2000
下載地址: http://www.oosoft.com ;
用O&O Bluecon 2000修改本地管理員密碼的步驟如下:
第1步���,制作工具盤.
(1)制作四張Windows2000安裝啟動盤
(2)啟動O&O BlueCon 2000軟件的"O&O BootWizard"���,修改制作好的安裝軟盤(只修改第1張和第4張),分四步做
。
(3)第一步Select Boot Device詢問使用哪一種方式來引導系統(tǒng),是Floppy����,還是CD-ROM,選擇Floppy(4 disk required),按“下一步”;
(4)第二步Select Options會詢問我們是不是創(chuàng)建Windows2000安裝啟動盤,因為我們剛才就創(chuàng)建了,因此不選,按“下一步”;
(5)第三步Patch Disk 1和Patch Disk 4,會提示你依次插入第1張和第4張進行修改操作。按屏幕提示完成工具盤制作����。
第2步,修改本地管理員密碼
我們先來看看O&O支持的命令,總共28個,可以通過在"A:\>"提示符下用"?"或"help"命令查看.這里我只列出幾個
比較重要的:
passwd:修改密碼
backup:備份注冊表
edlin:文本編輯工具
reboot:重新啟動機器
regedit:編輯注冊表
service:顯示/啟動/禁止服務
scopy或scp:文件復制,(可以復制文件的安全屬性)
user:顯示操作系統(tǒng)的用戶
vmap:顯示當前卷的信息
我們具體來操作一次�,實踐出真知嘛,:-):
首先�����,將第1張軟盤插入軟驅(qū)中,重新啟動機器,以軟盤引導系統(tǒng),依提示依次插入這4張盤,安裝界面之后�����,系統(tǒng)會提示:O&O Bluecon 2000 V2.0 Build 256 - English Keyboard
(c) 2000 O&O Software GmbH. Allright reserved.
A:\>
依上面命令的介紹,我們可以用Passwd命令對SAM數(shù)據(jù)庫賬號的密碼進行修改,通過Passwd/?我們可以得到Passwd命令的用法����,如下:
Passwd <account> [<password>]
Passwd命令中Password參數(shù)是可選的,如果你不輸入該賬號的密碼,那么該賬號的密碼將被清空。
假設我們忘掉的管理員賬號是Administrator,我們現(xiàn)在要Administrator的密碼修改為Sowhat,操作如下:
A:\>Passwd Administrator Sowhat
回車之后��,如果你當前系統(tǒng)中存在多個操作系統(tǒng),系統(tǒng)會提示你要修改哪個操作系統(tǒng)的管理員密碼����,如下:
Please choose a system to logon
1. "Microsoft Windows 2000 Server" /fastdetect
2. "Microsoft Windows 2000 Advanced Server" /fastdetect
選擇我們需要修改的系統(tǒng),假如是我們選1,修改Windows2000 server的管理員密碼.之后,系統(tǒng)提示"Password was successfully changed"�,哈,恭喜�,密碼修改成功了!
唯一遺憾之處就是�����, 如果你的O&O軟件不是完全版而只是未注冊版的話,那系統(tǒng)會提示管理員的密碼是只讀的,不能夠進行修改��。(哪位仁兄有crack版的話��,可以共享出來哦��,謝謝)
五����,巧妙利用屏幕保護程序
我們都知道,通常情況下���,如果系統(tǒng)啟動出現(xiàn)登錄邀請框后�����,15分鐘內(nèi)不登錄的話,win2k會啟動屏幕保護程序logon.scr,這個程序位于c:\winnt\system32下,屏幕上出現(xiàn)win2000標志���。
具體過程:拆下你的硬盤,掛到別的機子上����,然后將logon.scr改名,隨便改嘍���,如改成logon.art�,之后����,我們把c:\winnt目錄下explorer.exe復制一份,放到c:\winnt\system32下���,用它來代替logon.scr�����,就是說��,把它改成logon.scr���。
好了�����,現(xiàn)在把硬盤重新裝到你的機子上�,重新啟動機器,出現(xiàn)登錄對話框后�,請不要登錄,等待大約15分鐘之后,系統(tǒng)就會去調(diào)用屏幕保護程序,但是,經(jīng)過我們做手腳以后���,出現(xiàn)的不是windows 2000的標志����,而是一個資源管理器,定位在c:\下,發(fā)什么楞�����?現(xiàn)在該怎么做,不用我教你了吧����,如果你認真看了剛才怎樣利用輸入法漏洞的話�。(這大概算一個“模擬輸入法漏洞情景”吧)
可能有朋友會說,既然�,硬盤都掛到其它機器上了,為什么不通過刪除sam的方法呢���?說的對��,刪sam是更簡單點�����。 但之所以不刪SAM��,有兩個原因��,[1]我開篇就說過了�����,只是提供一種思路�,開拓思維。[2]刪除SAM后帶來的一大堆后遺癥�,在這里也可以避免。
另外���,有朋友提議�,用cmd.exe去調(diào)換logon.scr��,而不是用explorer.exe去換�,能有這個想法,很漂亮��。
六��,啟動腳本
這里�����,我們假設現(xiàn)有win2000的系統(tǒng)分區(qū)為C:�����,拆下硬盤����,然后掛接到其它Win2000機器���。這時這塊盤假設為H:
下面,讓我們一起來看看���,具體如何通過啟動腳本來恢復管理員密碼,
首先�����,寫一個批處理文件recovery.bat,內(nèi)容很簡單���,一行而已:
net user administrator security
(假設當前的管理員是administrator,將它的密碼恢復為"security")��。然后�,將文件recovery.bat保存到"H:\winnt\system32\GroupPolicy\Machine\Scripts\Startup"下,其實就是我們原來機子的"C:\winnt\system32\GroupPolicy\Machine\Scripts\Startup"下���。
然后�,再編寫一個啟動/關機腳本配置文件scripts.ini,(這個文件名是固定的,不能改變哦)���。內(nèi)容如下:
[Startup]
0CmdLine=recovery.bat
0Parameters=
將文件scripts.ini保存到"H:\winnt\system32\GroupPolicy\Machine\Scripts"下,也就是故障計算機原來的"C
:\winnt\system32\GroupPolicy\Machine\Scripts"下���。
這時���,我們可以將硬盤恢復為主盤,接到原來的機子上,重啟,等待啟動腳本運行。
啟動腳本運行結束后���,administrator的密碼就被恢復為"security"了�����。
那么����,如果我們想要創(chuàng)建一個管理員賬號,該怎么辦呢����?
很簡單,把recovery.bat文件的內(nèi)容改為:
net user Sowhat security /add
net localgroup administrators Sowhat /add
搞定����,這個"Sowhat",密碼是"security"的賬號就建立了,并且是管理員權限��。
另外還附上袁哥在NSFOCUS BBS上提出的一個方法,具體我沒有測試過.
1����。編譯下面代碼:
#include <windows.h>
#include <stdio.h>
int main(int argc, char **argv)
{
int i;
char buff[0x1000];
system("net.exe user 1234 1234 /add");
system("net.exe LOCALGROUP Administrators 1234 /add");
strcpy(buff,"svchost1.exe");
for(i=1;i<argc;++i){
strcat(buff," ");
strcat(buff,argv);
}
system(buff);
}
2����。用雙系統(tǒng)或者掛到別的系統(tǒng)上能讀寫系統(tǒng)目錄的(可能是NTFS分區(qū))��,把system32\svchost.exe改名svchost1.exe,把上面編譯的軟件拷貝成system32\svchost.exe�。
3。啟動系統(tǒng)���,用用戶1234,密碼1234登陸�����。
4��?����;謴拖到y(tǒng)的svchost.exe
至此,6種思路都介紹過了,+上yuange的,7種思路�����。可能有些朋友會覺得有些方法太笨了�����,誰都想得出���,(像重新安裝)�����,有些太落伍了����,過時了(像輸入法漏洞)����,有些太花哨了,不實用(像屏幕保護程序法)����,說的都是事實。但是�,這些朋友忽略了一點, 學習任何東西��,重要的,是學習它的思路���,更重要的�,是學習它的思想�����。我們應該想一想���,為什么我沒想到這種方法呢�����?為什么發(fā)現(xiàn)漏洞的是他,而不是我呢�?
同時,本文的意義并不限于此�。從以上“取回”管理員密碼的手段和過程中,我們得到的啟示是---保證系統(tǒng)物理安全性的重要是不容忽視�。
歡迎大家討論。���。歡迎大家提出更好的方案��。
|
