自食其力破解系统密码

赤手空拳破解系统密

本篇文章我们讲解从windows 2000到XP系统，再到windows 2003系统的不借助任何外来

工具的情况下，赤手空拳破解系统密码的方法。其中启动脚本破解法对于所有系统都是适用的，

删除SAM法只对windows 2000系统有效。下面是当你删除SAM文件夹后登陆提示的信息。

确定后，系统自动重启。系统陷入死循环。

网络上有很多这样的破解工具，例如WINPE启动盘，超级启动盘，深山红叶系统管理盘等等，

我们把这些盘刻录到光盘中就可以实现在不知道系统管理员等密码的情况下成功进入系统的功

能。

不过新问题又出现了，很多时候我们手头并没有这些启动盘，或者说这些启动盘不太好下载，

要么需要注册，要么需要收取一定的费用。既然如此我们为什么不能自食其力的破解系统密码

呢？

一、赤手空拳破解Windows 2000系统密码：

早期Windows2000系统存在着一个称为输入法漏洞的缺陷，任何一个用户只要了解了这个输

入法漏洞的操作方法就可以轻易的在没有弥补该漏洞并且不知道系统用户名和密码的

Windows2000系统上建立帐户，并设置为管理员权限。该漏洞存在于Windows2000,Windows2000

SP1,Windows2000 SP2以及某些Windows2000 SP3系统中。当然目前最新的是Windows 2000 SP4，

该补丁已经完全去除了输入法漏洞的缺陷，鉴于这个漏洞目前的应用范围比较狭小，因此不在这

里介绍。

点击俺，俺来告诉你咋样利用输入法漏洞提升权限

实际上目前使用最多的破解Windows2000系统密码的方法是SAM文件法。在Windows2000

系统中有一个名为SAM的文件，他负责管理当前系统的用户名和帐户信息，虽然是加密的但是我

们可以通过某些黑客工具借助字典进行暴力破解，还原出正确的用户名和密码来。例如LC4，通

过LC4我们可以在48小时内破解出6位以内的用户名和密码来。

不过现实中我们没有那么多充裕的时间进行暴力破解，在这里告诉大家一个巧妙的方法，那

就是删除SAM文件。SAM文件存在于c:winntsystem32config目录中，由于SAM文件在登录

到桌面后已经被系统所使用了，所以在正常模式下是无法将其删除的，删除时会出现“无法删除

SAM，共享冲突，源文件或目标文件可能正在使用”的提示。一般我们都是通过Windows98启动

盘启动到DOS环境中，然后使用DEL命令将c:winntsystem32config目录中的SAM文件删除

的方法来清除该文件的。

当我们把SAM文件删除后再次重新启动计算机登录系统时只需要输入用户名为

administrator，密码为空即可。从而轻松实现了赤手空拳破解windows2000系统密码的目的。

小提示：使用LC4暴力破解法适用于希望得到原来的用户名和密码的情况，而直接删除SAM

文件后不管你原来的用户名和密码是多少，都会随着SAM文件的删除而一去不复返。其实如果不

想让被破解系统原来用户察觉到的话，可以先将SAM文件复制出来，然后删除系统目录中的该文

件，登录系统查看相应文件，完毕后再把复制出来的SAM文件还原即可。

二、赤手空拳破解Windows XP系统密码：

Windows XP系统是面向与家庭用户的操作系统，不过在实际情况中很多公司的员工都习惯

使用该版本。对于没有安装任何SP补丁的Windows XP来说，使用上面介绍的删除SAM文件法或

者暴力破解SAM文件法都是可以的。然而只要是安装了SP1或SP2补丁后，破解Windows XP系

统就不能使用删除SAM文件法了，删除后系统将无法登录，只有通过重新安装系统才能解决。那

么我们应该如何赤手空拳破解windows XP系统密码呢？

（1）用密码重设盘设新密码：

一、创建“密码重设盘”

1、使用管理员帐户登录系统，按开始——控制面板——用户帐户，打开用户帐户窗口。

2、在“或挑一个帐户做更改”项中点击计需要创建“密码重设盘”的计算机管理员帐户。

3、左侧的“相关任务”栏中，点击“阻止一个已忘记的密码”。

4、在出现的忘记密码向导窗口中单击“下一步＂。在“我想在下面驱动器中创建一个密钥盘＂

下拉列表中选一个盘符，可以选软盘、U盘等（需要预选插入），在这里我选择U盘。选好后单

击“下一步＂。

5、输入当前用户帐户密码（如果密码为空，保留空白），单击“下一步＂。进度条到达100%

后再单击“下一步＂。

二、使用“密码重设盘”重置登录密码

某一天，管理员帐户密码被别人修改了，无法登录，别着急，用“密码重设盘”重置登录密

码吧。

1、 找出“密码重设盘”，接到USB口或插入驱动器，使用与“密码重设盘”对应的管理员

帐户登录，当然无法登录啦，出现如下提示。

2、 击“使用密码重设磁盘”。进入密码重设向导。单击“下一步”。

3、 选择正确的密码密钥盘所在的驱动器。单击“下一步＂。

优点：安全，对于用EFS加密数据很重要。

缺点：需要软盘，并且要求在设密码时建立密码重设盘，对于没有软驱的机器(屁话U-Disk

可以)就没办法。

（2）默认帐户登录法：

首先告诉大家一个小技巧，一般情况在安装windows XP过程中会出现要求输入管理员密码，

大多数情况用户都直接跳过去了。所以说XP系统安装完毕就内置了一个用户名为

administrator，密码为空的帐户。我们可以在XP系统登录界面时按Ctrl+Alt+Delete三键，这

时会出现一个传统的类似于Windows 2000系统的登录界面，在该界面中输入用户名为

administrator，密码为空来尝试登录。50%情况是可以登录的，我们进入系统重新修改密码或建

立新用户即可。

如果发现使用administrator和空密码不能登录系统的话就要采取下面介绍的脚本法来解

决了。

（3）启动脚本法：

首先我们要了解下系统的启动脚本和关机脚本。win2000/xp计算机启动和关机脚本是他们

的一个新特色，启动脚本是邀请用户登录之前运行的批文件，他的功能类似于win9x和DOS中的

自动执行批处理文件，而关机脚本是计算机关机之前运行的文件。

小提示：在win2000/xp系统中还存在着一个称为用户登录/注销脚本的概念，那么他们和上

面提到的启动脚本和关机脚本有什么区别呢？两者的主要区别是：计算机启动/关机脚本在计算

机启动和关机时运行，脚本程序只运行一次，通常在启动脚本运行完毕后才出现邀请用户登录的

对话框；而用户登录/注销脚本在邀请用户登录的对话框出现后，用户登录系统或从系统注销时

才运行，运行次数由用户登录/注销的次数决定，每登录/注销系统一次，脚本程序就运行一次。

在2000/XP系统下我们可以通过组策略来进行启动和关机脚本的配置。“开始->运行->输入

”，启动组策略。在本地计算机策略的计算机配置下的windows设置中我们可以看到

脚本（启动/关闭）的选项。在这里我们就可以随意的添加启动和关机脚本了。这样当系统启动

后都会首先自动执行我们设置好的启动脚本。那么如果我们将一个修改帐户密码的脚本放在启动

脚本中，不就可以让系统启动后马上将密码进行修改吗？启动脚本法破解系统帐户就是通过这个

原理来执行的。

当我们应用了启动/关机脚本的时候，会在系统目录下的

system32grouppolicymachinescripts目录下生成一个的隐藏文件，他记录的

实际上是脚本调用信息，该文件格式如下：

[startup]

0cmdline=加载的启动脚本名称（bat或VBS等）

0parameters=后头跟参数

[shutdown]

0cmdline=加载的关机脚本名称

0parameters=跟参数，一般为空

那么我们完全可以通过编辑开机脚本，从而实现了在计算机启动后自动修改被遗忘的管理员

密码。

第一步：首先编辑一个修改管理员密码的BAT文件，内容为"net user administrator it168",

代表的是把administrator密码修改为it168。

第二步:通过98启动盘启动操作系统或把本机硬盘挂接到其他机器上，不管用什么方法只要

能够成功的把第一步编辑的脚本文件复制到系统目录下的

system32grouppolicymachinescriptsstartup下即可。

第三步：我们还要对进行编辑。（例如BAT文件名为）相应的

文件内容如下：

[startup]

0cmdline=

0parameters=

第四步：重新启动计算机后，系统就会在登录前自动把administrator帐号的密码修改为

it168，从而成功实现了管理员密码的破解。

使用启动脚本法破解XP系统密码后还需要及时的将启动脚本删除，否则以后即使你修改了

管理员的密码，也会因为启动脚本的存在而每次启动自动将密码还原为it168。

小提示：该方法对于windows2000系统也是适用的，只不过不如删除SAM文件法来的简单方

便。

（4）修改屏保文件法:

原理：Windows 2000、XP启动时，如果不进系统，会自动启动屏保，如果用或

代替，启动启动时实际启动的是CMD命令。

步骤

1.拷贝系统安装目录文件备份；

2.改或名为文件，替换掉需要破解的系统的system32

目录下；

3启动系统，按下CTRL+ALT+DEL，不做任何动作，等一会儿系统会自动运行屏保，

事实上，这个确是，并且当前身份为local system；

4、在命令行方式下改密码:net user administrator your-new-password

如果这是域控制器，那么输入:net user administrator your-new-password/domain；

5、登陆系统，将第一步中备份的恢复回去即可。

优点：简单，安全。

缺点：等待时间长，原来没有启动屏保者不一定有效，不能找回其它有管理员身份的帐户密码，

只能修改，如果用EFS加密，加密破坏，数据丢失。

（5）Win安全模式登录法：

启动计算机，在Windows XP启动画面出现后马上按下F8键，选择“带命令行的安全模式”。

运行过程结束时，系统列出系统超级用户“administrator”和本地用户“abc”的选择菜单，鼠

标单击“administrator”，(如果你在初装时设定了密码的话，这里的密码就是初装时的密码)

进入命令行模式，然后就可以用net user password命令来修改密码了。

比如账号为abc希望将密码设置为123456，那么可以输入：net user abc 123456/add这样

就强制将“abc”用户的口令更改为“12345678”。若想在此添加一新用户，用户名为kingsir，

口令为7758521，只要键入：net user kingsir 7758521/add然后再把这个kingsir用户加入管

理员组：net localgroup administrators kingsir/add这样，用户“kingsir”就成为系统管

理组“administrators”的用户了。最后重新启动计算机，选择正常模式下运行，就可以用更改

后的口令“123456”登录了。

三、赤手空拳破解Windows 2003系统密码：

实际上在Windows 2003以及Windows 2003 SP1系统上也是可以采用启动脚本来破解的，他

并不算一个系统漏洞，仅仅是我们成功使用了系统内置的启动脚本功能来实现破解密码的操作而

已。但是在Windows 2003系统中实施启动脚本破解密码和XP下有所不同。如果你的Windows 2003

系统没有运行过组策略的话，直接按照上面的方法复制启动脚本是找不到系统目录下的

system32grouppolicymachinescriptsstartup目录的，即使我们手动建立相应的目录，复

制脚本后仍然无法实现密码破解的功能。

因为2003系统中文件目录及启动脚本的存放规则与XP是有区别的。所以这里我告诉大家一

个取巧的方法，那就是找一台你知道密码的windows 2003系统，然后再其上通过组策略设置一

个启动脚本，启动脚本的功能为修改管理员密码为it168。然后使用软盘将该windows 2003系

统下的c:WINDOWSSystem32GroupPolicy目录全部复制出来，接着使用98启动盘启动需要破

解的计算机，将c:WINDOWSSystem32GroupPolicy目录复制到该计算机的相应目录，这样重

新启动计算机进入Windows 2003系统时该系统就会自动运行启动脚本，将管理员帐户修改为

it168了。

不朽的力量:黑客技术篇

请慎重用如有任何问题本人概不负责

做为文章的最后一部分，这里将向各位演示如何使用黑客技术来取回自己的权限。

系统：Windows2000 Professional [Version 5.00.2195]

相关情况：系统管理员帐号administrator密码丢失、无其它可登陆用户帐号、无输入法漏

洞等可利用漏洞，无法取得SAM文件、无输入法漏洞。提供IIS服务等，并有若干漏洞。

所需工具：GFI LANguard Network Scanner（或其它同类漏洞扫描软件）其它：待破解系统

处于局域网中。

操作过程及相关解答：将待破解系统启动至登陆状态。在与此机器在同一局域网的另一台机器上

进行如下操作：

首先，/software/GFI-languard-network-scaner处下载扫描软

件。下载后按提示安装。安装过程很简单，这里不多缀述。接下来，使用该软件对目标系统进行

扫描，可以看到扫描结果中的：- Escaped Characters Decoding Bug

/scripts/..%255c..%255c..%255c..%255c..%255c..%255cwinnt/system32/?/c+dir，这

说明目标系统存在UNICODE及IDQ等数个CGI漏洞，对于不同的漏洞可以使用不同的方法入侵，

进而取得对系统的控制。对于此，本文无法详细介绍，因为黑客技术实在是如此博大精升，如果

要讲的话，恐怕不是一二年能讲完的。这里只是提及此 可行方法，具体情况还请具体分析。网

上有很多关于这方面的资料，有兴趣的朋友可以自行查找。

优点：安全

缺点：使用复杂，需要专业知识。不能找回其它有管理员身份的帐户密码，只能修改。

输入法漏洞

(过时的东西，现在补充上去只是给一个解决方法的思路)

输入法漏洞由来已久，在可行情况下(该漏洞存在于Windows 2000,Windows 2000

SP1,Windows2000 SP2以及某些Windows2000 SP3系统中。当然目前最新的是Windows 2000 SP4，

该补丁已经完全去除了输入法漏洞的缺陷)其不失为夺取系统管理权限的首选之技。所谓输入法

漏洞，即当我们启动Windows2000（NT）到登录验证的界面时，任何人都可以打开各种输入法的

帮助栏，并可以利用其中的URL跳转功能越权访问系统。

系统：Windows2000 Professional [Version 5.00.2195]、Windows XP，未升级漏洞补丁。

相关情况：系统管理员帐号administrator密码丢失、无其它可登陆用户帐号、SAM文件无

法读取或做其它操作、有输入法漏洞。

所需工具：无

操作过程及相关解答：

启运系统到登陆状态，按Ctrl+Shift键切换输入法状态到“全拼”（或其它输入法，只要

可调出输入法帮助即可）状态，依次点选状态条上的“帮助”、“操作指南”。右击“操作指南”

窗体的标题栏，选择“跳转至URL”，在跳转输入框中输入c:win dnntsystem32,点确定即可

成功进入该文件夹。找到 文件，并创建快捷方式。然后右键此快捷方式，选其属性，

将“目标”一栏中改为：C: user wing 123456 /add，点确定后，点

击执行。这样，便给系统添加了一个用户名为wing，密码为123456的新用户。之后以同样的步

骤再创键一快捷方式，在其属性中将“目标”改为：D: localgroup

administrators wing /add，同样双击执行。这一步是将刚刚创建的新用户wing增加到了本地

管理员组。

优点：安全

缺点：不能找回其它有管理员身份的帐户密码，只能修改。操作复杂，升级漏洞补丁后不能

使用。对2003效果不明。