發(fā)言人
憂孤草
發(fā)信
發(fā)帖:10 回復(fù):2
注冊(cè)時(shí)間:2004-04-22 00:19:58
|
WIN2K密碼忘了怎么辦?
有兩句話,叫做“常在河邊走,哪能不濕鞋”“常在江湖走��,難免不挨刀”�����。跟我這篇文章的主題結(jié)合起來(lái)���,常和Win2K Server打交道�����,誰(shuí)敢保證哪天不會(huì)忘了管理員密碼呢�����?如果���,萬(wàn)一����,不幸�,你就是那個(gè)“倒霉蛋”,怎么辦�����?
不要急����,所謂“眾人拾柴火焰高”,我參考了前人的各種方法并結(jié)合自己的經(jīng)驗(yàn)����,特撰寫此文,希望能夠幫你解決這個(gè)難題.
要找回管理員密碼�,方法很多�����,大致有以下6種思路(有些方法可能只在某些情形下有效)
一��,刪除SAM文件
·什么是SAM文件?
Win2000中對(duì)用戶賬戶的安全管理使用了安全賬號(hào)管理器SAM(security account manager)的機(jī)制,安全賬號(hào)管理器對(duì)賬號(hào)的管理是通過(guò)安全標(biāo)識(shí)進(jìn)行的�����,安全標(biāo)識(shí)在賬號(hào)創(chuàng)建時(shí)就同時(shí)創(chuàng)建�,一旦賬號(hào)被刪除,安全標(biāo)識(shí)也同時(shí)被刪除���。安全標(biāo)識(shí)是唯一的�����,即使是相同的用戶名�����,在每次創(chuàng)建時(shí)獲得的安全標(biāo)識(shí)都時(shí)完全不同的�。因此�����,一旦某個(gè)賬號(hào)被刪除,它的安全標(biāo)識(shí)就不再存在了��,即使用相同的用戶名重建賬號(hào)�,也會(huì)被賦予不同的安全標(biāo)識(shí),不會(huì)保留原來(lái)的權(quán)限����。
安全賬號(hào)管理器的具體表現(xiàn)就是%SystemRoot%\system32\config\sam這個(gè)文件。sam文件是windows 2000的用戶賬戶數(shù)據(jù)庫(kù),所有用戶的登錄名及口令等相關(guān)信息都會(huì)保存在這個(gè)文件中���。SAM文件可以認(rèn)為類似于unix系統(tǒng)中的passwd文件,不過(guò)沒(méi)有unix的passwd文件那么直觀
那么當(dāng)我們忘記密碼的時(shí)候�,就可以通過(guò)刪除SAM文件�,快速地進(jìn)入系統(tǒng)。
這個(gè)方法是比較容易的�,具體說(shuō)來(lái)又有兩條路可以選擇
1,在本機(jī)解決���。
如果你裝的是雙系統(tǒng)���,最常見(jiàn)的98&win2k,那么你可以進(jìn)入WIN98,若是Fat格式���,直接刪除SAM文件���。若是NTFS格式,由于無(wú)法直接從98訪問(wèn)�����,所以我們需要NTFS for DOS這個(gè)軟件(具體操作就不贅述了)��,借助它����,就可以刪除SAM文件了��。
如果你只裝了一個(gè)Win2000的話��,也不用急�����。
用軟盤啟動(dòng)���,來(lái)刪除SAM��,F(xiàn)AT就不說(shuō)了��,如果是NTFS格式�,加載NTFS for DOS或其它同類軟件,同樣可以刪除SAM文件�����。
(NTFS for Dos 可以到和http://www.sysinternals.com/去下載)
2�,拆硬盤,掛到別的機(jī)器上去
如果你不嫌麻煩的話����,可以把硬盤拆下來(lái),掛到別的機(jī)器上��,刪除SAM文件��。
二��,重裝
這個(gè)辦法�����,恐怕誰(shuí)都可以想到吧。不過(guò)�,它確實(shí)是最有效的辦法之一,也算是一種思路嘛����。(誰(shuí)?誰(shuí)在雞蛋扔我��?)
三,利用各種漏洞
1����,輸入法
看到這個(gè)題目,恐怕有人又在找臭雞蛋了吧�,(我躲~~)。我開(kāi)篇已經(jīng)說(shuō)了�,只是提供6種不同的思路���。雖然微軟在SP2中已經(jīng)補(bǔ)上了這個(gè)漏洞����,但是���,作為一種方法��,必然有它值得學(xué)習(xí)��,借鑒之處����!皽婧R宦曅Α闭f(shuō)的好�,“漏洞只是一種表現(xiàn)形式,我們應(yīng)該看的是更深一些的東西,比如這個(gè)漏洞為什么會(huì)有如此大的危害,為什么使用這個(gè)漏洞進(jìn)去會(huì)有如此大的權(quán)限?我們能不能在這個(gè)漏洞不存在的情況下模擬一個(gè)類似的情境?”
用輸入法實(shí)現(xiàn)也有兩種途徑:
a)利用快捷方式
(1)Windows2000啟動(dòng)之后,依屏幕提示按下ALT+CTRL+DEL進(jìn)行登錄����,在登錄界面將光標(biāo)移至用戶名輸入框,按鍵盤上的Ctrl+Shift鍵進(jìn)行輸入法的切換�,屏幕上出現(xiàn)輸入法狀態(tài)條,在出現(xiàn)的“全拼”輸入法中將鼠標(biāo)移至輸入法狀態(tài)條點(diǎn)擊鼠標(biāo)右鍵��,在出現(xiàn)的選單中選擇“幫助”�,然后繼續(xù)選擇“輸入法入門”,在窗口頂部會(huì)出現(xiàn)幾個(gè)按鈕�����,神奇之處就在這個(gè)“選項(xiàng)按鈕”上�。
(2)如果系統(tǒng)未安裝Windows2000 ServicePack2或IE5.5,那么現(xiàn)在就可以在“操作指南”窗口上邊的標(biāo)題欄單擊右鍵��,選擇“跳至URL”,此時(shí)會(huì)彈出Windows 2000的系統(tǒng)安裝路徑并要求輸入路徑�����,輸入c:\WinNT\system32(假設(shè)你的Windows 2000安裝在c:\WinNT下)�����,按下“確定”���,我們就成功地繞過(guò)了身份驗(yàn)證進(jìn)入系統(tǒng)的system32目錄�。
(3)在system32目錄下找到“net.exe”�,用鼠標(biāo)右鍵單擊并選擇“創(chuàng)建快捷方式”;右鍵單擊該快捷方式�����,在“屬性”/“快捷方式”/“目標(biāo)”里輸入“c:\winnt\system32\net.exe user Security Art/ADD”����,然后點(diǎn)擊“確定”��。
這一步的作用就是用Net.exe創(chuàng)建一個(gè)Security用戶���,密碼為Art(注意大小寫)��,雙擊該快捷方式即完成了用戶的添加����。
(4)這步,我們把Security用戶添加到Administrators(管理員組中)�����,同樣把Net.exe的快捷方式目標(biāo)修改為“c:\winnt\system32\net.exe LOCALGROUP Administrators Security/ADD”�,雙擊執(zhí)行。
(5)成功了�!可以用Security用戶登錄,修改你原先用戶的密碼(這回不要再忘了哦:-)��,最好刪除掉這個(gè)security用戶�。
b)利用文件類型編輯創(chuàng)建管理員用戶
此處同上個(gè)方法的(1);
(1)右擊"選項(xiàng)"按鈕,選擇"跳至url"���;
(2)在跳至URL上添上"c:\"���;
(3)幫助的右邊會(huì)進(jìn)入c:\;
(4)按幫助上的"選項(xiàng)"按鈕���;
(5)選"internet"選項(xiàng).會(huì)啟動(dòng)文件類型編輯框����;
(6)新建一個(gè)文件類型,如一個(gè)art文件類型,在跳出的文件后綴中添上"art",點(diǎn)確定��;
(7)選中文件類型框中的"art"文件類型,點(diǎn)擊下面的"高級(jí)按鈕",就會(huì)出現(xiàn)文件操作對(duì)話框����;
(8)新建一種文件操作,操作名任意寫,如"abc";
(9)這步操作要執(zhí)行的命令如下:
C:\WINNT\system32\cmd.exe /c net user Security ART /add C:\WINNT\system32\cmd.exe /c net localgroup administrators Security /add
完成,退出���;
(10)將c:\的某個(gè)文件如"abc.txt"改為"abc.txt.art",然后雙擊打開(kāi)這個(gè)文件��;
(11)通常這個(gè)文件是打不開(kāi)的,系統(tǒng)運(yùn)行一會(huì)便沒(méi)有了提示,但這時(shí)我們已經(jīng)將用戶Security加上了,權(quán)限是administrator�;
(12)返回,重新以Security用戶登錄,修改你原先用戶的密碼�。建議刪除掉security用戶。
利用下面幾種漏洞來(lái)提升權(quán)限的前提是�����,除了管理員賬戶�,你還有其他的用戶可以登錄進(jìn)入系統(tǒng)�。然后設(shè)法提升權(quán)限
2�,PipeUpAdmin: 這個(gè)程序在本機(jī)運(yùn)行可以把當(dāng)前用戶賬號(hào)加入管理員組�����,普通用戶和Guests組用戶就可以成功運(yùn)行���;
3����,Debug漏洞:WINDOWS 2K 存在一個(gè)利用 Debug Registers 提升權(quán)限的漏洞�。如果攻擊者能在 WIN2K 中運(yùn)行程序,利用此漏洞���,他至少能取得對(duì) %Windir%\SYSTEM32 和 注冊(cè)表HKCR 的寫權(quán)����。因?yàn)閤86 Debug Registers DR0-7對(duì)于所有進(jìn)程都是全局共享的�,因此在一個(gè)進(jìn)程中設(shè)置硬件斷點(diǎn),將影響其它進(jìn)程和服務(wù)程序���。
4����,NETwork DDE漏洞:利用 Windows 2000 的 Network DDE DSDM 服務(wù)漏洞普通用戶可以LocalSystem身份執(zhí)行任意程序,可以借此更改密碼���、添加用戶等�����。Guests組用戶也可以成功利用該漏洞�。 但是需要注意的是���,這個(gè)服務(wù)缺省沒(méi)有啟動(dòng)����,需要啟動(dòng)這個(gè)服務(wù)
5��,本地溢出:雖然Windows 2000 有很多程序有溢出漏洞����,但是這些程序不是總在運(yùn)行,因此被利用的可能性還是比較小的���。
例如:Windows 2000 的靜態(tài)圖像服務(wù)就有一個(gè)溢出漏洞��,利用該漏洞��,攻擊者可以獲得系統(tǒng)權(quán)限���。
四,利用恢復(fù)軟件
這里介紹兩種軟件:Offline NT Password Editor和O&O Bluecon 2000.
1��,首先�,我們來(lái)看Offline NT Password editor
下載:http://home.eunet.no/~pnordahl/ntpasswd ;
先將下載來(lái)的文件解壓,解壓后得到的是一個(gè)bin類型的文件�����。其實(shí)這個(gè)bin文件是一張軟盤的映像文件��。先準(zhǔn)備好一張格式化過(guò)的軟盤�,接著用Winimage軟件打開(kāi)那個(gè)bin文件,然后選擇“Disk”菜單下的“Write disk”���,這樣���,Winimage就把軟盤映像的內(nèi)容恢復(fù)到軟盤上了。
接觸過(guò)Linux系統(tǒng)的朋友會(huì)發(fā)現(xiàn)軟盤中的文件包含有Linux系統(tǒng)啟動(dòng)盤的一些文件��。其實(shí),這個(gè)軟盤可以算是一個(gè)“精簡(jiǎn)的Linux系統(tǒng)”���。
用軟盤啟動(dòng)電腦后�,將會(huì)進(jìn)入一個(gè)Linux環(huán)境下�,在這個(gè)環(huán)境下,提供對(duì)NTFS磁盤格式支持��,并自動(dòng)開(kāi)始運(yùn)行那個(gè)可以更改NT/2000用戶密碼的程序���。
具體過(guò)程:
用軟盤啟動(dòng)后����,我們可以看到很多Linux啟動(dòng)的輸出信息�,看到了吧,這個(gè)“精簡(jiǎn)的Linux系統(tǒng)”的名字是SysLinux��。
然后就是軟件的版權(quán)聲明�����,并指出軟件在NT3.51,NT4.0,Windows2000 Professional & Advanced Server RC2下測(cè)試通過(guò)���,而使用了Active Directory的Windows2000系統(tǒng)沒(méi)有測(cè)試�。
接下來(lái),系統(tǒng)提示“Do you have your NT disks on a SCSI controllers?”,問(wèn)你NT系統(tǒng)是否安裝在SCSI硬盤上�����,看你的具體情況��,一般這里輸入“n”���。系統(tǒng)就開(kāi)始檢測(cè)硬盤以及硬盤分區(qū),并把檢測(cè)結(jié)果以Linux下的方式表示出來(lái)���,在出
現(xiàn)提示字串后敲回車?yán)^續(xù)����。
系統(tǒng)提示“Select what you want to do:1-set passwords[default] 2-Edit registry”,我們的目的是更改管理員的密碼���,所以��,輸入數(shù)字“1”�,Enter�。
接著提示“what is the full path to the registry directory?”,詢問(wèn)注冊(cè)表存放路徑,默認(rèn)的應(yīng)該是“winnt/system32/config”���,如果你原來(lái)安裝系統(tǒng)的時(shí)候改變了路徑��,那么請(qǐng)按照你的實(shí)際情況更改路徑后回車?yán)^續(xù)���。
接著出現(xiàn)“which hids(files) do you want to edit (leave default for password setting,separate multiple name with space)”,回車��,然后會(huì)把所有用戶的賬號(hào)列出��,并詢問(wèn)“do you really wish to disalbe syskey(y/n)”�����,輸入“n”,回車�。提示“Username to change (! to quit,. to users):”��,輸入“administrator”(假設(shè)你的管理員賬號(hào)是 administrator)�,回車后“Please enter new password”按提示,你可以輸入“Administrator”賬號(hào)的新密碼�����,再問(wèn)一次“Do you really wish to change it?(y/n)”����,輸入“y”確定并回車�。系統(tǒng)最后問(wèn)你“About to write files back�! Do it?”(有點(diǎn)羅嗦吧,呵呵)���,輸入“y”確認(rèn)后�,系統(tǒng)提示���,按“Cltrl-Alt-del”三鍵重新啟動(dòng)系統(tǒng)���。
好了����,啟動(dòng)系統(tǒng)后,已經(jīng)可以用我們修改好的密碼登錄
2���,O&O Bluecon 2000
下載地址: http://www.oosoft.com ;
用O&O Bluecon 2000修改本地管理員密碼的步驟如下:
第1步�����,制作工具盤.
(1)制作四張Windows2000安裝啟動(dòng)盤
(2)啟動(dòng)O&O BlueCon 2000軟件的"O&O BootWizard"���,修改制作好的安裝軟盤(只修改第1張和第4張),分四步做
���。
(3)第一步Select Boot Device詢問(wèn)使用哪一種方式來(lái)引導(dǎo)系統(tǒng),是Floppy,還是CD-ROM,選擇Floppy(4 disk required),按“下一步”;
(4)第二步Select Options會(huì)詢問(wèn)我們是不是創(chuàng)建Windows2000安裝啟動(dòng)盤,因?yàn)槲覀儎偛啪蛣?chuàng)建了,因此不選,按“下一步”;
(5)第三步Patch Disk 1和Patch Disk 4,會(huì)提示你依次插入第1張和第4張進(jìn)行修改操作���。按屏幕提示完成工具盤制作��。
第2步����,修改本地管理員密碼
我們先來(lái)看看O&O支持的命令,總共28個(gè),可以通過(guò)在"A:\>"提示符下用"?"或"help"命令查看.這里我只列出幾個(gè)
比較重要的:
passwd:修改密碼
backup:備份注冊(cè)表
edlin:文本編輯工具
reboot:重新啟動(dòng)機(jī)器
regedit:編輯注冊(cè)表
service:顯示/啟動(dòng)/禁止服務(wù)
scopy或scp:文件復(fù)制,(可以復(fù)制文件的安全屬性)
user:顯示操作系統(tǒng)的用戶
vmap:顯示當(dāng)前卷的信息
我們具體來(lái)操作一次�����,實(shí)踐出真知嘛��,:-):
首先�,將第1張軟盤插入軟驅(qū)中,重新啟動(dòng)機(jī)器,以軟盤引導(dǎo)系統(tǒng),依提示依次插入這4張盤,安裝界面之后,系統(tǒng)會(huì)提示:O&O Bluecon 2000 V2.0 Build 256 - English Keyboard
(c) 2000 O&O Software GmbH. Allright reserved.
A:\>
依上面命令的介紹�����,我們可以用Passwd命令對(duì)SAM數(shù)據(jù)庫(kù)賬號(hào)的密碼進(jìn)行修改,通過(guò)Passwd/?我們可以得到Passwd命令的用法�,如下:
Passwd <account> [<password>]
Passwd命令中Password參數(shù)是可選的,如果你不輸入該賬號(hào)的密碼,那么該賬號(hào)的密碼將被清空。
假設(shè)我們忘掉的管理員賬號(hào)是Administrator,我們現(xiàn)在要Administrator的密碼修改為Sowhat,操作如下:
A:\>Passwd Administrator Sowhat
回車之后���,如果你當(dāng)前系統(tǒng)中存在多個(gè)操作系統(tǒng),系統(tǒng)會(huì)提示你要修改哪個(gè)操作系統(tǒng)的管理員密碼���,如下:
Please choose a system to logon
1. "Microsoft Windows 2000 Server" /fastdetect
2. "Microsoft Windows 2000 Advanced Server" /fastdetect
選擇我們需要修改的系統(tǒng),假如是我們選1,修改Windows2000 server的管理員密碼.之后�,系統(tǒng)提示"Password was successfully changed"�����,哈�����,恭喜�����,密碼修改成功了�!
唯一遺憾之處就是���, 如果你的O&O軟件不是完全版而只是未注冊(cè)版的話,那系統(tǒng)會(huì)提示管理員的密碼是只讀的,不能夠進(jìn)行修改�。(哪位仁兄有crack版的話�,可以共享出來(lái)哦,謝謝)
五�����,巧妙利用屏幕保護(hù)程序
我們都知道,通常情況下���,如果系統(tǒng)啟動(dòng)出現(xiàn)登錄邀請(qǐng)框后�����,15分鐘內(nèi)不登錄的話,win2k會(huì)啟動(dòng)屏幕保護(hù)程序logon.scr,這個(gè)程序位于c:\winnt\system32下,屏幕上出現(xiàn)win2000標(biāo)志���。
具體過(guò)程:拆下你的硬盤,掛到別的機(jī)子上���,然后將logon.scr改名�,隨便改嘍��,如改成logon.art�,之后,我們把c:\winnt目錄下explorer.exe復(fù)制一份���,放到c:\winnt\system32下���,用它來(lái)代替logon.scr�,就是說(shuō)���,把它改成logon.scr��。
好了��,現(xiàn)在把硬盤重新裝到你的機(jī)子上�,重新啟動(dòng)機(jī)器,出現(xiàn)登錄對(duì)話框后���,請(qǐng)不要登錄,等待大約15分鐘之后,系統(tǒng)就會(huì)去調(diào)用屏幕保護(hù)程序,但是�����,經(jīng)過(guò)我們做手腳以后���,出現(xiàn)的不是windows 2000的標(biāo)志,而是一個(gè)資源管理器,定位在c:\下,發(fā)什么楞�?現(xiàn)在該怎么做�����,不用我教你了吧�����,如果你認(rèn)真看了剛才怎樣利用輸入法漏洞的話。(這大概算一個(gè)“模擬輸入法漏洞情景”吧)
可能有朋友會(huì)說(shuō)��,既然�����,硬盤都掛到其它機(jī)器上了�,為什么不通過(guò)刪除sam的方法呢?說(shuō)的對(duì)�����,刪sam是更簡(jiǎn)單點(diǎn)����。 但之所以不刪SAM,有兩個(gè)原因�,[1]我開(kāi)篇就說(shuō)過(guò)了,只是提供一種思路��,開(kāi)拓思維�����。[2]刪除SAM后帶來(lái)的一大堆后遺癥,在這里也可以避免�����。
另外�����,有朋友提議�����,用cmd.exe去調(diào)換logon.scr��,而不是用explorer.exe去換�,能有這個(gè)想法,很漂亮��。
六�����,啟動(dòng)腳本
這里�,我們假設(shè)現(xiàn)有win2000的系統(tǒng)分區(qū)為C:,拆下硬盤�����,然后掛接到其它Win2000機(jī)器�����。這時(shí)這塊盤假設(shè)為H:
下面��,讓我們一起來(lái)看看����,具體如何通過(guò)啟動(dòng)腳本來(lái)恢復(fù)管理員密碼,
首先�����,寫一個(gè)批處理文件recovery.bat,內(nèi)容很簡(jiǎn)單����,一行而已:
net user administrator security
(假設(shè)當(dāng)前的管理員是administrator,將它的密碼恢復(fù)為"security")。然后�,將文件recovery.bat保存到"H:\winnt\system32\GroupPolicy\Machine\Scripts\Startup"下,其實(shí)就是我們?cè)瓉?lái)機(jī)子的"C:\winnt\system32\GroupPolicy\Machine\Scripts\Startup"下。
然后����,再編寫一個(gè)啟動(dòng)/關(guān)機(jī)腳本配置文件scripts.ini,(這個(gè)文件名是固定的,不能改變哦)��。內(nèi)容如下:
[Startup]
0CmdLine=recovery.bat
0Parameters=
將文件scripts.ini保存到"H:\winnt\system32\GroupPolicy\Machine\Scripts"下,也就是故障計(jì)算機(jī)原來(lái)的"C
:\winnt\system32\GroupPolicy\Machine\Scripts"下�����。
這時(shí)��,我們可以將硬盤恢復(fù)為主盤,接到原來(lái)的機(jī)子上,重啟,等待啟動(dòng)腳本運(yùn)行�����。
啟動(dòng)腳本運(yùn)行結(jié)束后��,administrator的密碼就被恢復(fù)為"security"了��。
那么�����,如果我們想要?jiǎng)?chuàng)建一個(gè)管理員賬號(hào),該怎么辦呢�?
很簡(jiǎn)單�����,把recovery.bat文件的內(nèi)容改為:
net user Sowhat security /add
net localgroup administrators Sowhat /add
搞定,這個(gè)"Sowhat",密碼是"security"的賬號(hào)就建立了�����,并且是管理員權(quán)限�。
另外還附上袁哥在NSFOCUS BBS上提出的一個(gè)方法,具體我沒(méi)有測(cè)試過(guò).
1��。編譯下面代碼:
#include <windows.h>
#include <stdio.h>
int main(int argc, char **argv)
{
int i;
char buff[0x1000];
system("net.exe user 1234 1234 /add");
system("net.exe LOCALGROUP Administrators 1234 /add");
strcpy(buff,"svchost1.exe");
for(i=1;i<argc;++i){
strcat(buff," ");
strcat(buff,argv);
}
system(buff);
}
2���。用雙系統(tǒng)或者掛到別的系統(tǒng)上能讀寫系統(tǒng)目錄的(可能是NTFS分區(qū))���,把system32\svchost.exe改名svchost1.exe,把上面編譯的軟件拷貝成system32\svchost.exe。
3���。啟動(dòng)系統(tǒng)�,用用戶1234��,密碼1234登陸�。
4�;謴(fù)系統(tǒng)的svchost.exe
至此,6種思路都介紹過(guò)了,+上yuange的,7種思路���?赡苡行┡笥褧(huì)覺(jué)得有些方法太笨了���,誰(shuí)都想得出�,(像重新安裝)�����,有些太落伍了�����,過(guò)時(shí)了(像輸入法漏洞)��,有些太花哨了�����,不實(shí)用(像屏幕保護(hù)程序法)����,說(shuō)的都是事實(shí)。但是�,這些朋友忽略了一點(diǎn), 學(xué)習(xí)任何東西���,重要的�����,是學(xué)習(xí)它的思路���,更重要的��,是學(xué)習(xí)它的思想。我們應(yīng)該想一想�,為什么我沒(méi)想到這種方法呢?為什么發(fā)現(xiàn)漏洞的是他�����,而不是我呢��?
同時(shí)���,本文的意義并不限于此����。從以上“取回”管理員密碼的手段和過(guò)程中����,我們得到的啟示是---保證系統(tǒng)物理安全性的重要是不容忽視��。
歡迎大家討論���。。歡迎大家提出更好的方案�����。
|
