[How To] an Windows Rechner zu Adminrechte zu kommen.

[-AmA-]

Inhalt

• Einleitung
• Windows Eingabeaufforderung
• COMMAND.COM
• Taskplaner Trick
• Windows Registry
• Bildschirmschoner Trick
• Batch-Dateien
• Schlusswort

Einleitung
Ich habe dieses How To aus 2 Gründen geschrieben.
Der erste ist, dass es Massenhaft leute gibt, die Gerne ein wenig Rechte in der Schule oder sonst wo hätten.
Der 2.te Grund ist, weil ich zahlreiche Programme gesehen habe, die die Funktion "net user" von der Eingabeaufforderung benutzen.
Dieses How To soll noch ein wenig weitergehen und zeigt euch diverse Möglichkeiten was ihr machen könnt wen z.b. "net user" oder die Eingabeaufforderung gesperrt ist.

Windows Eingabeaufforderung
Die erste,beste,am weitesten Verbreitete Möglichkeit ist die Eingabeaufforderung.
Sofern ihr genug Rechte habt, könnt ihr jedes Passwort einer Windows Maschiene ändern. Zum Öffnen der Eingabeaufforderung können folgende möglichkeiten Verwendet werden:
1.
Durch drücken von Windowstaste + R erscheint das "Ausführen" Dialogfeld.
Durch die Eingabe von "cmd" oder "cmd.exe" und bestätigen, erscheint die schwarze Konsole(Eingabeaufforderung)
2.
Sollte der Ausführen Dialog gesperrt sein, kann sie auch "manuell" geöffnet werden.
Einfach ein neues Explorer Fenster öffnen und dort den Pfad "C:\Windows\System32" eingeben und in diesem Ordner die cmd.exe öffnen

Nun wenn ihr die Schwarze Konsole offen habt, Kann durch Verwenden des "net user" Befehls, das Passwort geändert werden.
Einfach "net user <Benutzernamen> *" eingeben und <Benutzernamen> durch den gewünschten Benutzer ersetzen:

Code:

net user Administrator *

Als nächtest fordert Windows euch auf ein neues Passwort einzugeben.
Und danach müsst ihr dieses nochmal eingeben.
Und nun der Moment der Warheit.
Entweder steht "Zugriff verweigert" oder es hat geklappt.


COMMAND.COM
Für alle PC's mit Windows NT auser Win7
Ein Trick die Eingabeaufforderung öffnen zu können wird noch hier beschrieben.
Am besten erstellen wir eine neue Batch-Datei.
Dazu öffnen wir Den normalen Windows Editor (Notepad) und legen auf dem Desktop eine neue Datei an. Die Endung der Datei muss .bat sein. Im Windows Editor muss man aber erst angeben das man die neue Datei in jedem Format abspeichern möchte. Standartmässig speichert sonst der Editor etwa in diesem Fromat: euerdateiname.bat.txt

Der Inhalt dieser Datei ist folgender:

Code:

command.com

Nun öffnen wir sie mit einem Doppelklick und es erscheint die Eingabeaufforderung in GROSSBUCHSTABEN.
Diese beinhaltet alle Funktionen und ist zu 99% nicht gesperrt.


Windows Registry
Sollte es nicht möglich sein das Passwort zu ändern, oder die Eingabeaufforderung zu öffnen, müssen wir einen Schritt tiefer vordringen.
In der Windows Registry sind deine Kompletten Rechte aufgeliestet. Dazu starten wir über den Ausführen Dialog (Windowstaste + R) den Registry Editor.
Dazu geben wir "regedit" oder "regedit.exe" ein und bestätigen.
Wie schon oben, kann der Editor auch "manuel" geöffnet werden indem ihr "regedit.exe" im "C:\Windows\System32" sucht und öffnet.

Ist der Registry Editor offen,navigieren wir links in den Ordner "HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr entVersion\Policies" den dort sind deine aktuellen Rechte abgelegt.

Nun löschst du alle Ordner inerhalb dieses Policies Ordners.
Das Recht Passwörter zu ändern befindet sich im Ordner "System" unter dem Schlüssel "DisableChangePassword". Aber da wir sowiso alle Rechte wollen, können alle Ordner gelöscht werden.

Sofern diese Ordner gelöscht wurde, kann alles genau so gemacht werden wie im ersten Kapitel.

Warnung
In der Registry sollte nicht frei herumgelöscht werden. Ich übernehme keine Verantwortung für eure Taten


Taskplaner Trick
Dieser Trick funktioniert bei Win 7 auch nicht.(Ich wüsste nichts davon)
Es gibt ein Taskplaner Trick. Dadurch erhält das zu startende Programm höhere Rechte als der Administrator. Dieser Trick erlaubt euch unteranderem auch einen Einblick in den SAM Bereich von Windows. (Dort wo die Passwörter verschlüsselt abgelegt sind)

Also alles was man braucht ist die Eingabeaufforderung und die aktuelle Uhrzeit.
Nun gibt man als Befehl ein: AT <aktuelle Uhrzeit + 1 Minute> /interactive regedit
So hier noch ein Beispiel:

Code:

AT 13:14 /interactive regedit

Noch kurz zum Befehl was er macht:
Dieser Befehl erstellt einen neuen Task. Dieser wird mit Systemrechten ausgeführt. Durch /interactive kann der Benutzer aber trozdem das Fenster sehen und dadurch mit Systemrechten in der Registry herumwühlen. Dank diesen Rechten kann wie schon gesagt alles! auch die SAM Datei durchwühlt werden.


Bildschirmschoner Trick
Dieser Trick hab ich mit Win 7 auch getestet und er funktioniert nicht mehr!
Bei Win XP und Vista sollte er aber gehen.
Also...
Ganz einfach: Du must wissen welcher Bildschirmschoner im Anmeldefenster erscheint. Danach loggst du dich wieder ein und gehts im "C:\Windows\System32" Verzeichniss, den Bildschirmschoner der verwendet wird, umbennenen.(Etwa in "<bildschirmschonername>.scr.alt") Danach machste eine Kopie von cmd.exe und bennenst wie der Bildschirmschoner (also "<bildschirmschonername>.scr"). Nun gehst du wieder raus und wartest bis der neue "bildschirmschoner" kommt. Und siehe da... du hast die Konsole mit Systemrechten.


Batch-Dateien
Batch-Dateien werden im allgemeinen nicht gespert! Wieso auch wenn Logon und Login Skripts von Windows auf Batch-Dateien basieren.
Alleine die aufgerufenen Funktionen werden teilweise gespert!


Schlusswort
Nun ich hoffe dass ihr nicht gleich wegen der Rechtschreibung motzt Bin nicht gerade das Deutsch Genie
Andererseits hoffe ich das ihr nicht alles was da steht gleich Missbraucht.
Und das letzte:
Ich brauch keine Kommentare wie: DAS IST ALT UND KENNT SCHON JEDER!
Es sollte ein Tutorial sein für solche die kein Plan haben wie sie ihr Passwort wiederfinden oder ein bischen mehr Recht haben möchten.

Wer was hinzufügen möchte der soll nen Kommentar schreiben
Kritik ist gerne Willkommen

Edit: Hups... Falsche Sektion... Wäre jemand so nett??

[PaulchenPanther]

Danke für die Tips.. nicht viel neues dabei, aber dennoch alles interessant und hilfreich!
Besonders der Bildschirmschonertrick ist gut.

/thanks

[lolkop]

wäre vielleicht noch nützlich wenn du sagst wie man auf win7 systemen den admin überhaupt freischalten kann...

so cmd mit admin rechten starten und

Code:

net user Administrator /active

ausführen und so

[Jonni8]

Finde du hast es gut erklärt
Allerdings habe ich Win7 und kann somit so wie ich das verstanden habe, keinen der Tricks ausprobieren xd

[R2-D2]

Hallo,

wenn ich eine batch datei mit "command.com" drinne erstelle, öffnet sie sich und schließt ganz schnell wieder.

Was mache ich falsch ?

lg

[. χaωe]

Eine Batch datei bleibt nur solange offen wie sie bearbeitet wird.
Wenn du das Ergebniss sehen willst musst du ganz unten noch "pause" einfügen =)
dann kannst du den Fehler sehen =)

zum Tutorial:
ganz nett, aber wenn du nicht schon vorher admin rechte hattest kommst du so auch an keine. Zumindest nicht dann, wenn der Administrator ein paar Einstellungen vorgenommen hat, was inner Schule der fall ist.

[R2-D2]

So habs gemacht:
Der Befehl "command.com" ist entweder falsch geschrieben oder ...

lg

[. χaωe]

probier vllt. ein "shell" oder "call" dranzuhängen !?
Welches Windows benutzt du ?

[-AmA-]

Quote:

Originally Posted by Jonni8

Finde du hast es gut erklärt
Allerdings habe ich Win7 und kann somit so wie ich das verstanden habe, keinen der Tricks ausprobieren xd

der bildschirm trick funkt bei win 7 nicht ganz
Die Konsole trit zwar hervor aber mit zu wenig rechte

[V8II]

Funktioniert das mit der Registry?
Ich möchte keinen schaden anrichten denn ich würde es in der schule machen, denn ich möchte mir autoit laden, das Problem liegt darin, das man ohne Admin rechte nichts installieren kann.

[Zacherl]

Der Bildschirmschonertrick ist leider nutzlos, da um Dateien im Windows Ordner umzubenennen oder zu ersetzen, bereits Adminrechte erforderlich sind.

[L00PB4CK]

Ja mein Gott verdammt nochmal via AT... fettes danke für den Wink, ich Depp bin nämlich nicht drauf gekommen....

Nun "how to get root on win" ja das geht auch mit schlechtem Englisch und ohne große Zaubertricks.. Ich würde es so beschreiben das man sich die Rechte stückweise "ermogeln" kann/muss. Was ich meine?


Weitere Möglichkeiten sind die sethc.exe bzw die utilman.exe
Wenn ihr euch am LoginScreen von Windows befindet dann...:

5 x recht schnell am Stück Shift drücken... was passiert? die sethc.exe springt sofort darauf an und bietet euch ihre Dienste dar....

WindowsTaste + U an gleicher Stelle... was passiert? utilman.exe kommt geschlichen und will einen auf Helfendes Händchen machen...

Also ich gehe nun mal von meiner Ausgangsposition aus und die ist meist irgendwo zwischen Datenbank und Adminpasswort...

Durch die Datenbank kann man in der Regel auch direkt solche esoterischen Arschtritte wie diesen hier verteilen:

Code:

cd windows
cd system32
copy cmd.exe sethc.exe

ja ich verstehst auch nicht ganz aber es scheint wohl etwa das gleiche zu erzeugen wie die zweite Methode die ich gleich nennen werde. Die cmd.exe wird zum Debbuger ernannt, oder weis der Geier. jedenfals wenn dieses Command sich ausführen lässt ohne einen Error 5 oder ähnliches zu bekommen...
Dann bitte wieder zum LoginScreen und 5 x Shift! Ihr bekommt eine cmd.exe mit Systemrechten. Ich rate auch zur cmd.exe! Zwar geht theoretisch auch die taskmgr.exe oder Explorer.exe (tun sie ja auch wirklich) aber ich hatte schon recht oft den einen oder anderen Hänger dabei...

Sprich die taskmgr.exe drauf kopiert und sie lies sich auf diese Art nicht mit der sethc.exe oder dem utilman.exe starten. Wird wohl oder übel an den Systemeinstellungen liegen. wie gesagt die cmd.exe kommt mit Systemrechten schon vor dem Login wenn sich das Command ohne Fehler ausführen lässt.

BITTE BEACHTEN.....

sethc.exe und utilman.exe gibt es nicht nur einmal:

%windir%\system32\sethc.exe
%windir%\system32\dllcache\..*
%windir%\system32\utilman.exe
%windir%\system32\dllcache\...*

sprich kopiert ihr die cmd.exe aus dem system32 auf die sethc im system32 dann wird wenn vorhanden die originale sethc aus dem dllcache ordner den platz umgehend einnehmen!
kommt ganz darauf an ob der windows dateischutz seinen senf dazu geben will oder nicht! alternativ kopiert man eben erst eine cmd.exe auf die sethc.exe im dllcache ordner und dann im system32...
experimente wie alle sethc.exe dateien lösche und dreist mit einer Kopie der cmd.exe ersetzen führten bei mir auch schon zum Erfolg.

So nun wenn man nicht kopieren kann weil wie Zacherl sagte die Adminrechte (adminrechte/systemrechte habe ich zum glück durch die Datenbank meistens schon, ich mache sie mir nur zu nutzen und weite sie aus) dazu fehlen dann gibt es auch noch einen anderen Weg.

Manipulation der sethc.exe und der utilman.exe über die Registry:
So nicht unbedingt muss man solche binären Verkuppelungen abziehen, man kann auch ganz anders an die sache gehen! z.Bleistift mit diesem Command:

Code:

REG ADD HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe /v Debbuger /t REG_SZ /d c:\windows\system32\cmd.exe

ABER BITTE BEDENKT!!! wenn es klappt dann müsst ihr das auch rückgängig machen (sprich den reg eintrag wieder löschen)! Ansonsten hat das System dank euch nun eine altbekannte Backdoor. (kann man natürlich auch als solche nutzen wenn man seine eigene exe so auf die Systemdateien "prägt".

so nun könnte man das sicher auch bei dem Bildschirmschoner anwenden (übrigens danke das kannte ich auch noch nicht), und wenn ihr nun sagt das ihr nicht durch die Datenbank geschlichen kommt und es somit total sinnfrei ist.....

puzzeln ist angesagt !!! das ist windtendo und bei wintendo gibt es immer einen weg! ja immer ! wenn es nicht so wie hier beschrieben klappt dann kombinieren und mal bissel dummfrech und schweinedreist sein ....

z.B:
1:

Code:

AT 13:14 /interactive regedit

2:

Code:

obrigen reg eintrag hinzufügen

klappt auch nicht? dann probiert man eben ob man evtl via cacls bzw. xcacls etwas drehen kann....



und wenn alles nixb bringt... nun dann modifiziere ich scheisse egal alle dateien die sich modifizieren lassen in der hoffnung das der Admin auch mal persönlich zum login kommt und mir den gefallen tut und mein command für mich ausführt....

auch wenn man als gast eingeloggt ist kann man in der regel in seiner kleinen ecke auch dateien ausführen ..... das könnte man nutzen um sich die lsa zu beschaffen....

oder man probiert es mit lcp, ja mir ist klar was ich hier gerade laber....

Code:

lcp ausführen!
import von remote system anklicken!
den "localen" hostname angeben als remotesystem!
versuchen die samdump aus dem speicher zu lesen!

so mache ich das wenn ich mal nicht gerade den domaincontroller oder userverwalter (weis der geier wie sich das schimpft) in einem netzwerk am wickel habe... die samdump daten sind logisch auch im speicher zu finden wenn die user sich eingeloggt haben ......

LsaDump kann die pwd's direkt im Klartext ausspucken wenn man glück hat, man muss in dem Fall nicht mal die RT's bemühen... wobei das mit den heutigen PC's auch kein unding mehr ist...

sooo erstmal den teil meines Senf's dazu.. evtl bringts jemandem was, ich entschuldige mich auch gleich für den satzbau und die rechtschreibung aber mir hat eben die zeit gefehlt... sorry leutz....



PS: das sind natürlich nur vorschläge und anregungen wenn man wie ich als coadmin 7 mal die woche seine acounntdaten vergisst aber die datenbank daten im kopf hat weil sie dem Geburtstagsdatum meiner Mutter ensprechen ^^ *baut kein scheiss jungs bzw lasst euch zumindest nicht dabei erwischen*

PPS: auf testumgebungen die systemen in freier wildbahn entsprechen bin ich immer gut zu sprechen. d.h. wenn jemand ein paar wege finden will sich root zu besorgen und diese person die testumgebung klar macht dann beteilige ich mcih an sowas immer wieder gerne..

RRS: sag Zacherl kennen wir und nicht? PortJoe ... you know?



immer schön die schlüpper festhalten mädels
greez L00PB4CK



@echo off
attrib -R -S -H %windir%\system32\dllcache\sethc.exe
copy %windir%\system32\dllcache\sethc.exe %windir%\system32\dllcache\sethc.bak
attrib +R +S +H %windir%\system32\dllcache\sethc.bak
del %windir%\system32\dllcache\sethc.exe
copy %windir%\system32\cmd.exe %windir%\system32\dllcache\sethc.exe
attrib +R +S +H %windir%\system32\dllcache\sethc.exe
exit
do the same @ system32

[birdplane]

wie komm ich denn an "dieses" net user
ich kann die cmd nicht ausführen (ZITAT):
Die Eingabeaufforderung ist vom Administrator deaktiviert worden.
Drücken sie eine beeliebige Taste . . ."
was kann/soll ich tun???
lg und danke im vorraus für die hilfe

[michivon33]

Hey Leute,

Bei einigen Leuten besteht das Problem das sie nicht genügend Rechte oder sonstiges haben wie z.B. eine deaktivierte Command Prompt oder Registry. In diesem kleinen Tutorial werde ich beschreiben wie ihr diesen leicht umgehen könnt.

In diesem Tutorial werde ich euch zeigen wie ihr euch mithilfe einer Linux Live Version Zugang in das Windows System verschaffen könnt. Benötigte Tools / Werkzeuge :
- Linux Live Image , in diesem Tutorial wird Linux Mint verwendet
- USB Stick / CD / DVD
- UNetBootin Windows ( Nur für die USB Sticks )
- Mein Programm ( Optional )

Links : Siehe Unten !

So dann beginnen wir mal,

Sobald ihr euch das Live Image runtergeladen habt gibt es Zwei Möglichkeiten das Linux System zu booten.

Option 1.: Boot per USB Stick

Um per USB Stick zu booten müsst ihr euch das extra Tool UNetBootin für Windows runterladen. Sobald dies erledigt ist müsst ihr wie in diesem Bild die Einstellungen übernehmen und auf Start drücken.

 Spoiler

Sobald das erledigt ist ist der Boot Stick Bootfähig.

Info: Als Laufwerk euren USB Stick wählen

Option 2.: Boot CD / DVD

Um eine Boot CD / DVD zu erstellen könnt ihr einfach Nero oder sonstiges benutzen und das Image auf die CD / DVD brennen und diese dann einfach booten.


Um ins Bootmenü zu kommen drückt ihr einfach alle F1- F12 Tasten durch. Bis ein Menü kommt wo ihr euch auswählen könnt wie ihr das System booten möchtet. Sobald ihr ein Menü seht ist der Bootvorgang erfolgreich gewesen ist.

 Spoiler

Nach dem Boot drückt ihr auf einen Eintrag in dem etwas von wegen " Try ... without installating " steht und wartet bis Linux gebootet ist. Daraufhin geht ihr in den Datei Browser und versucht auf die C:/ Partition zu gelangen ( Der Buchstabe kann variieren, einfach darauf achten wo der Windows Ordner drin ist ). So nun kommt der eigentliche Part des Tutorials in dem wir System Daten austauschen um sie später als Administrator zu starten. Als erstes navigieren wir in den Ordner Partition:/Windows/System32/ in dem sich die Datei sethc.exe befindet welche wir durch eine unserers Programmes oder einfach durch die CMD.exe austauschen welches aber nicht so sicher ist wie mein Programm welches ein externes Registry Editor Programm enthält welches auch funktioniert falls der DisableRegistryTools Schlüssel gesetzt wurde. Wir legen ein BackUp der orginalen sethc.exe an falls etwas schief lauten sollte und ersetzten danach die sethc.exe durch die CMD.exe oder durch die sethc.exe aus meinem Programm. Falls die Methode mit meinem Programm verwendet wird platzieren wir die restlichen Daten : SCCv1.exe und den RegEditor Ordner auf der Root Partition ( C:/ ). Wenn das erledigt ist könnt ihr das Betriebssystem runterfahren und normal Windows starten.

Der Windows Part.:

Nachdem Windows gestartet ist sehen wir den Login Screen je nach Netzsystem kann das variieren wie z.B. die Schulnetze oder einfach Home PC's. In erster Linie ist das egal wird aber später eine Rolle spielen. Nun drücken wir 5x Shift um unser Programm oder das Command Prompt zu starten. Falls ihr die Command Prompt Version wählt könnt ihr direkt zum Command Prompt Part gehen aber falls das Command Prompt deaktiviert ist müsst ihr mein Programm verwenden. Sobald mein Programm startet seht ihr einmal 2 Buttons mit der Beschriftung " CMD " und " RegEditor ". Auf der anderen Seite ist ein Label zu sehen wo der derzeitige Account angezeigt wird und falls dort SYSTEM steht habt ihr alles richtig gemacht und das Programm ist per SYSTEM Account gestartet worden. Nun könnt ihr erst einmal den CMD Button testen falls die dicht ist startet ihr den RegEditor.

Der RegEdit Part.:

Nun navigieren wir in diesen Pfad
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System]
in welchem warscheinlich ein DisableCMD Schlüssel existiert welchen wir einfach löschen um das CMD wieder zu aktivieren. Nun können wir das Programm beenden und wieder auf meins zurückkommen.

Der Command Prompt Part.:

Fast geschafft, jetzt müssen wir nur noch das Administrator Password resetten. Dafür starten wir das CMD und geben folgenden Befehl ein

Quote:

net user Administrator *

welcher uns nun ausgeben sollte das wir das neue Passwort eingeben sollen, wir geben das Passwort Zweimal ein und können uns mit diesem Account einloggen.

So nun ist es entscheidend ob wir einmal das einfach Login Feld haben oder das Erweiterte. Mir zurzeit nur bekannt wie man es mit dem Erweiterten Login Feld macht in welchem wir nun einmal beim Netzwerk unseren Lokalen Computer auswählen und im Benutzernamen : Administrator eingeben für welches das Passwort, dass ist welches wir im CMD eingeben haben. So nun haben wir Zugriff auf den Administrator Account.

Links :

UNetBootin :
SCCv1 :
Linux Mint :