發現了VSS裡有個要命的選項,勾選後可以不管VSS帳號密碼,直接以Windows當下的登入帳號對應到VSS使用者。也就是說,只要使用者用Administrator登入Wndows後,就可以直接升等成VSS裡的Administrator! 有沒有這麼扯呀?

一開始,我不相信VSS的安全控制可以兩光到這般田地。不過做了個簡單的實驗,挑個VSS裡的使用者名稱(例如: 1234)開了個本機帳號,用1234登入Windows,開啟VSS Client,VSS登入帳號輸入1234,不敲密碼也能登入(驚),再Check-Out個檔案試試,記錄上就顯示簽出者是1234。感覺上好像拿了根馬桶刷就搶了銀行,還不會被抓,拍案驚奇!!

PS: 依據提供此一終極祕辛的小熊子透露,他之所以知道這麼多,是當年有高人一個個選項逐一詳解,IT牛人連絡簿再記一筆。


Comments

Be the first to post a comment

Post a comment