我们的目的只是为了做他们主机的管理员，那么怎样才能做管理员呢，对于windows系统来说，首先得有目标主机的管理员用户和口令，有了口令以后，就可以做很多事情了；本人对这篇东西不付任何责任。

一、获取管理员口令

第一步：大概就是收集尽量多的目标主机的信息吧，这要用到扫描器，可以用x-scan、x-way、nmap、等等，我一般喜欢先用namp，再用x-scan或sss。

第二步：利用收集到的信息了

1、漏洞

.unicode二次编码 有这类漏洞的主机现在已经很少很少了，如果有的话，可以使用的权限也很低，一般就仅有只读权限了，这就什么事都不能做，只能利用它来看看目标主机的一些文件，如果这台主机的管理员认为他的记性不是很好的话，非常有可能会把他的一些密码记录了一个文本文件当中，但这样的概录几乎等于0；如果有执行权，那就net user看一看，用户不多就把guest用户击活，再把它加到管理员组，用到命令是：net user guest 口令 /active:yes和net localgroup administrators guest /add。

.printer漏洞 现在有这个洞的主机就和有unicode洞的一样少，有的话，用个IIShack什么的就可以开99的shell口或建个叫hax/hax的管理员级用户。

.ida .idq漏洞 这个东西发现了有半年多了，现在开IIS的还是有35％的可能性有这个，有的话，可以用snake的idqover创建管理员用户，GUI版的使用是傻瓜式的，选择好操作系统类型，把要邦定的命令中的dir c:\改成net user 用户 口令 /add，然后点idq溢出就可，反回个OK,可这并不表示成功，再telnet 主机 813，如果出现命令执行成功的话，才表示可以，然后再用以上同样的方法再溢出一次把用户加入管理员组。

2、管理员输忽

一些粗心的管理员往往会把他的密码设的很简单，有的是不得不设的简单，这样的机器就会被扫描到弱口令了，有系统的、MS_sql或MySQL的较常见，mssql的可通过SQLexec等软件进行远程连接创建系统管理员，参考，MySQL的可见MY-SQL常用命令，要先你自己的机器上装个MySQL噢，或用AdminMySQL数据库工具。

3、给管理员发木马

管理员的信息可以从他的网站上或者.unicode的查看中获得，发信要求得到他的帮助（一些计算机方面的问题），花一定的时间取得信任，等到时机成熟时，给他发个自己做的，或是经过压缩再捆邦的收集密码的木马，等几天去收密码，再用收到的密码做一本字典，用个Letmein或menu+去猜他的服务器，这个有点缺德。

二、登陆主机

可以用TelnetHack打开它的任意端口(前提是它要有IPC$共享)，高端的最好不要开，开个22、19、137、138可能会好些，然后登陆上去，我们的目的是要去放个后门，进入它的系统目录和程序目录，查看一下都装了哪些程序，哪些是用于安全方面的，如果有Arpkiller等，就不要放sniffer了，再看杀毒软件是什么公司的，自己装一个对你将要装上去的后门或别的什么程序进行扫描，扫不出来最好，扫出来就换一个，再用net user看一下它的用户，多的话加一个新的，把这个用户放到备份用户组就够了，这样稍微好了点，取名时也要注意跟主机上的别的用户名“压韵”，再用net share看看有哪些共享，没有admin$共享的话，自己加一个进去，再用pwdump把它的sam文件倒出抓回来。

三、留后门

选一个适合这台主机的后门，上传方法可参看IPC入侵全攻略，这里要注意后门的取名和开的口（或ping后门），在主机上装上后门后，一定要与主机断开ipc连接，不然在会话中会老是留有记录，再通过后门上传你要用到的程序，比如擦屁屁的、做代理的、扫描的、sniffer的等，放这些程序的目录最好是放的深一些，名字取的好听些，也可用个软件把它隐藏了，如这个主机没有查sniffer的东西，那给它装上个sniffer，fssniffer或x-sniff、wollf里的sniff用用还是挺好的，都可以侦听ftp/pop3等的明文传输密码。如果它开着web服务，那还可以给它放上个角本木马，角本木马如果放的好的话，检测难度非常大，而管理员在做Web备份的时候也会把它备份进去，一个好的ASP木马可以完全的接管一台NT。推荐用wollf新出的wollf-v1.5，它集成了很多功能，可太显眼了，杀毒软件会眼红。把主机上的认为有用的文件全下过来，如web程序的数据库连接代码里会有数据库用户名和口令的，更隐蔽的请看克隆管理员帐号。