文章作者：浪子燕青
信息来源：黑客基地
原始连接：[url]http://www.xker.com/article/Article.asp?articleid=209[/url]

冰血备注：
这个是一篇很经典的文章 不是因为他技术高深 而是因为他把要反映的问题都反映了
让一些错误的文章哑口无言
文章并没有解决什么问题 我仔细看了一下 到是作者在常识的各种方法碰壁的过程中 无意的把以前的所有错误文章所陈述的方法都测试了一遍
不过说老实话 浪子燕青曾经在X上有几篇不错的文章 可是他所用的这些方法的总结文章 在此之前已经有人写过了 并且早投在X上了 E.S.T的成员可以在内部版面找到那个文章 但请不要放出 我答应编辑不要放的：）

浪子燕青所写的正文：

学校举行国家信息中心举办考试，占用学校机房的机器，以前我们用的机器是WIN2000PRO的系统，而且是管理员权限。可是现在变成了双系统，WIN2000OPRO 和 WINXP。而且WIN2000的给的权限是user，不爽，但是系统居然连个SP1补丁也没有打，所以轻松用输入法漏洞搞定系统了。可是XP的系统居然连个user用户也不给，我又想用一下XP ，可是有不能和老师要密码，否则就?…
可是自己来搞定XP ，也不是说说就可以搞定的，我行动的步骤如下：
首先分析一下双系统的分布情况，WIN2000的系统安装在了C盘下。而XP的系统安装在了E盘下，两个分区都是NTFS。而且E盘下还没有给2000下的user用户任何访问权限。
思路：
1、试验administrator的密码是不是空，连按两次CTRL+ALT+DEL ，会弹出登陆的界面。
2、在突破2000系统的权限，然后给自己加权限来访问XP所在的盘符E盘。
3、或者把SAM文件删除掉，这样administrator的用户密码就变成了空了。
4、把XP系统下的系统文件logon.scr用cmd.exe替换掉。
5、用我手头现有的漏洞溢出工具MS04011来溢出获得权限。
6、替换系统现有的服务文件，而被替换的文件和替换的文件（这个我自己做一个批处理，添加帐户和提升为管理员，然后把后缀改为.exe就可以了），可是被替换的系统服务是什么文件，我对XP不熟悉，还不知道替换那个服务的启动文件呢？
思路有了，那就开始做：
第一次尝试：
正常启动XP，试验第1种思路，看看可以行的通不，这个只是尝试，没有多打希望，可是还真的是这样的。当启动到登陆界面的时候，我按了CTRL+ALT+DEL连续两次，结果以administrator的用户，密码是空登陆，失败。看来管理员没有用默认Administrator用户的空密码，改掉了。没关系，还有第2种思路。
第二次简单突破：
  首先到2000的系统，然后突破权限使自己成为管理员，到E盘下，删除了e/windows/system32/config下的SAM文件。得意中重起了计算机。当进入XP的画面时，居然弹出警告信息，大概意思是帐户的数据库出问题，只有一个“确定”按钮可点，我点击下以后，机器重起了，莫非删除文件的方法我记错了，还时没删除对文件，我没工夫到网络上查，就接着往下实验，我还有其他的思路来突破权限。
第三次我以为“万能”的方法：
又启动机器到2000下，然后把cmd.exe改名成为logon.scr，然后复制到e/windows/system32下，在复制之前我备份真正的logon.scr为logon.bak。重起机器再到XP下，然后等待10分钟，果然出现了可爱的cmd窗口，迫不及待的输入了命令：
e/windows/system32/net user abc abcd /add
发生系统错误 5。
拒绝访问。
晕，莫非系统启动后，不是system最高权限？
还是以cmd下添加用户没有权限，再窗口中添加可以呢？怀着试试看的态度，又再cmd下敲入了：e/windows/system32/explorer.exe
屏幕一闪，出现了资源管理器的窗口，我从开始->我的电脑->右键单击->“管理”，然后在“本地用户和组”中添加帐户，还是失败，意思也是权限不够，此时我也在笑我自己，明明知道这个窗口中和cmd下权限一样，还要实验，来浪费时间，可是不实验怎么甘心呢？我自我安慰到。
对了，还有一招，替换系统服务的文件，刚才不知道替换哪个服务，替换哪个文件，现在直接一目了然。我从“服务和应用程序”中的“服务”中找替换的服务时，发现几乎所有的系统服务都是以svchost.exe加参数来启动的，好不容易找到一个服务：
服务名称：Spooler
显示名称：Print Spooler
描述：将文件加载到内存中以便迟后打印。
可执行文件路径：E/WINDOWS/system32/spoolsv.exe
这个服务启动方式是：“自动”，而且是打印服务，机房的机器对于这种服务可有可无，我就决定替换它了。
手工编写批处理文件，内容如下：
net user abc abcd /add
net localgroup administrators abc /add
然后把文件改为spoolsv.exe来覆盖E/WINDOWS/system32/下真正的spoolsv.exe文件，可是提示无法覆盖，因为服务启动中。我决定不停止服务，到2000的系统下替换这个文件。
又是重起机器，等在出现XP登陆画面时，怎么在选择用户里没有我所看到的abc用户呢？按CTRL+ALT+DEL两次在说，以用户名：abc密码：abcd登陆。结果失败。为什么会这样，还是到系统下查看一下添加abc用户成功没有？漫长的10分钟又来临，而我只有等待，看着我的“跑表”一秒一秒的慢慢的走动。 ? 现在我想疯~~
出现了cmd窗口以后，我用net user 来查看，结果没有abc用户，咦~~怎么会这样？又老套启动资源管理器，发现我刚才替换的服务虽然是“自动”，可是现在却在停止状态，我启动它，显示没有权限。咳~~~叹气！！！
我上看下看，左看右看，这台电脑我怎么也看不明白！！！
用最后的方法吧：
找到MS04011溢出的工具，运行来溢出，结果也不行，我也不知道为什么？哪位高人知道，麻烦告诉小弟一声，小弟的E-mail：[email]lz_yq@126.com[/email]
在资源管理器下还可以用ftp，我就到我的机器上下载了一个wollf木马，自己载xp上运行，然后用其他机器上连接这个机器，可以连接上，可是当加用户的时候，也是提示权限不够而导致加不了用户。
我先看一下我现在是以什么用户来运行的这些程序，可是在“任务管理器”中，没有显示任何用户登陆，在应用程序中，显示的是：Winlogon通用控制对话。小弟对WINXP没有研究，还希望哪位高人指教。
现在虽然没有以任何用户登陆，但是在资源管理器中可以访问我的电脑和每个盘符，就是加了安全限制，只允许管理员访问的文件夹，这时也可以访问。虽然用起来不爽，但是还可以凑合着用！
到此，我所有的招数已用完，可是提升权限的目的没有达到，而用WINXP的目的还是达到了。虽然心里高兴，可是这样也不错了。突然，我身后传来了声音“还挺辛苦的！”啊！我的老师什么时间出现在我的身后？？晕死~
结果，我估计大家谁也没猜到答案，因为老师告诉了我administrator用户的密码，居然密码时：administrators 
倒~~再次晕死！！！
这样获得系统权限的目的达到了！！！

补充：这样其实也不是什么破解，是老师告诉了我的管理员密码，我不甘心，打算一定要自己动手，丰衣足食。
下面我接着突破，结果成功了，也算是是利用了XP默认的东西吧。
把cmd.exe改名为logon.scr放到系统盘下覆盖掉原来的logon.scr以后（这之前一定要备份真正的logon.scr），等带15分钟的屏保吧

本文转自loveme2351CTO博客，原文链接：http://blog.51cto.com/loveme23/8564 ，如需转载请自行联系原作者