从本地管理员到域管理员提权

影响版本：windows server 2003(其他未测)

详情：windows操作系统内置system账户，权限高于任何其他账户，在没有其他账户密码的情况下，只要管理会话存在，就可以直接接管其他账户的会话。特别是在AD域环境中，该漏洞显得尤其严重，攻击者只需要有一台域成员PC的先关权限，并且AD管理会话存在，就可以直接接管AD域管理员会话，从而控制整个域。

测试用例：

1.以testsystem账户远程桌面登录服务器，可以在任务管理器的用户面板中看到test账户的会话，右键远程接管test账户会话的时候会提示输入密码，由于我们没有test账户的密码，所以无法接管该会话(即使是黑客，也不会轻易修改管理员的密码吧？)

2.我们都知道系统内置system账户，通过testsystem账户将c:\windows\system32\sethc.exe用explorer.exe替换。断开远程连接，重新登录，到登录界面的时候按5次shift，可以调出system用户的界面。到此我们可以直接获得system账户的权限。

注：此时登录框并未消失，从这里可以判断，在用户未登录的情况下，大部分系统的前期初始化都是使用system账户进行的，多危险啊，比本地溢出啥的危险多了。

3.此时可以使用system账户直接接管任意会话，而不需要知道密码。当然前提是会话存在(一般远程管理服务器的人都不会注销会话吧？注销了运行的服务也就断了)。

4.经过测试，在域环境中，如果域管理员会话存在，照样可以直接接管，而无需任何密码。这点危害尤其严重，如果黑客控制了一台机器，便可以少去很多提权的麻烦了，直接可以控制整个域。