细细想想，Windows 2000 提供的功能实在是太强大了，这大大方便了Admin们的管理工作，不过利弊向来都是并存的，正是因为Windows 2000 提供的强大功能，让您稍微不留神，系统就被黑客们光顾了，系统信息被暴露，是非常可怕的事情，这意味着黑客已经掌握了你的服务器一半的情况，一旦发现了系统的漏洞，就意味着下一步入侵的开始。举个简单的例子：如果你的服务器无意中开了一个共享文件夹，黑客想办法获取了你的服务器信息，发现这个共享文件夹允许访问，呵呵，很可能，就被他做个Pub什么的用用……
　　
　　说了半天，到底远程能够获取什么样的系统信息呢？很多很多，不完全的说一下比较关键的一些信息吧：
　　
　　Server Name：服务器的名字
　　
　　Server Comment:：相关的说明信息，很多管理员喜欢在这里写上些敏感信息的：）
　　
　　Server Type：服务器类型，通过这个，黑客们可以判断出目标服务器是处于什么环境之下，比如可以判断出：A LAN Manager workstation，A LAN Manager server，Windows NT/Windows 2000 workstation or server，Windows NT/Windows 2000 server that is not a domain controller，Server running a browser service as backup，Server running the master browser service
　　
　　Major_version:，inor_version：这两个分别是服务器大版本号和小版本号，黑客通过这个得到了操作系统的版本信息，比如，大版本号为5，小版本号为0，择说明是一台windows 2000的服务器，而下一步就是查找windows 2000的安全漏洞了
　　
　　current date，current time is：服务器的日前和时间，通过这个，可以判断出服务器所在的时区，良好掌握渗透的时间
　　
　　Session：得到当前服务器的会话连接IP地址，这个作用就比较广泛了，可以根据实际情况，灵活的运用
　　
　　Share Enum：这是个很重要的信息，他展示出了服务器上所有的共享文件夹，包括隐含的共享，一旦发现可利用的共享信息，黑客只需简单的在浏览器中输入\\ip\share，就可以访问到目标主机的共享信息，就是这么危险!
　　
　　UserEnum:这个东西更可怕了，连服务器的帐号信息都取来了，其中包括用户登陆成功次数，失败次数，帐号使用时间，登陆脚本路径，口令生效时间……这些连系统管理员都看不到哦！此外还有一些信息会被暴露出来,比如：用户名，用户权限，用户说明信息，是否帐号禁用……这很可能造成弱口令的用户名被轻易破解，簇新的系统管理员如果留个user:test,password:123之类的帐号在里面，估计服务器就保不住了。
　　
　　LocalGroupEnum：枚举本地组，呵呵～～
　　
　　此外还有UseEnum，FileEnum，ScheduleJobEnum……实在太多了～
　　
　　下面，来说说最重要的部分——到底这些信息怎么样才能获取呢？
　　
　　打开你的winnt/system32这个文件夹，找找看，是不是有一个叫做netapi32.dll的文件？从文件名，我们就可以知道，这是个和网络函数相关的动态连接库，这个就是我们需要找的东西哦！上面取得的信息，其实全部是通过这个DLL文件来实现的。对应于这个DLL文件，Windows 2000提供了一组相关的API函数调用，装上Platform SDK这个开发工具包，然后请打开你的MSDN，输入要查找的关键字“Network Management”，然后选择Network Management Reference－>Network Management Functions你会看到一组以Net开头的API函数,正确运用这组函数，就可以获取远端服务器的信息了，函数用法是有点复杂，下面举个简单的例子吧：
　　
　　假如存在一台windows 2000的目标主机，其IP地址为:192.168.10.111，我们现在准备获取他的帐号信息，首先我们建立一个IPC$空会话连接：
　　
　　建立空会话和断开会话主要用到了两个函数：
　　DWORD WNetAddConnection2( LPNETRESOURCE lpNetResource, LPCTSTR lpPassword, LPCTSTR lpUsername, DWORD dwFlags);
　　上面的函数是建立一个会话连接，其中LPCTSTR lpPassword, LPCTSTR lpUsername分别是用户口令和用户名，要想建立空会话，则一定要把这两项置成空。
　　DWORD WNetCancelConnection2(LPCTSTR lpName, DWORD dwFlags, BOOL fForce);
　　WNetCancelConnection2的作用则和WNetAddConnection2是相反的，在获取用户信息后，为了确保安全，黑客会用他迅速的断开与服务器之间的会话。
　　
　　我已经把它写成了一个类，这个是类其中的一部分函数：
　　
　　BOOL CAhFunc::CreateLine (char * str){
　　
　　NETRESOURCE netr;
　　
　　TCHAR netBuf[MAX_PATH] ={0};
　　
　　memset (&netr, 0, sizeof (NETRESOURCE));
　　
　　//上面的，都是一些初始化的信息
　　
　　wsprintf (netBuf, "\\\\%s\\ipc$", str);
　　
　　//前面一行，生成了一行字符串“\\xxx.xxx.xxx.xxx\ipc$”
　　
　　netr.dwScope = RESOURCE_GLOBALNET;
　　
　　netr.dwType = RESOURCETYPE_ANY;
　　
　　netr.lpLocalName = "";
　　
　　netr.lpRemoteName = netBuf;
　　
　　netr.lpProvider = NULL;
　　
　　if (WNetAddConnection2 (&netr, "", "", NULL) == NO_ERROR)
　　
　　//ok!到此为止，简单的用上面一条函数建立了一个IPC$连接，其实他是模拟了windows NT/2000下的这样一条命令：net use \\xxx.xxx.xxx.xxx\ipc$ “” /user: “”,具体的net use用法，大家看看help吧。
　　
　　return TRUE;
　　
　　return FALSE;
　　
　　}
　　
　　下面是断开会话的方法
　　
　　BOOL CAhFunc::DestoryLine (LPTSTR str){
　　
　　TCHAR netNB[MAX_PATH] = {0};
　　
　　wsprintf (netNB, "\\\\%s", str);
　　
　　if (WNetCancelConnection2 (netNB, CONNECT_UPDATE_PROFILE, TRUE) == NO_ERROR)
　　
　　return TRUE;
　　
　　return FALSE;
　　
　　}
　　
　　同样的，也是模拟了这条命令net use \\xxx.xxx.xxx.xxx /DEL
　　
　　刚刚说了，我们要取的是远端服务器上的帐号信息，打开MSDN，输入关键字：NetUserEnum，看到了吧？你可以找到这条函数NET_API_STATUS NetUserEnum( LPCWSTR servername, DWORD level, DWORD filter, LPBYTE *bufptr, DWORD prefmaxlen, LPDWORD entriesread, LPDWORD totalentries, LPDWORD resume_handle );
　　一大串参数，看起来挺可怕的是吧？：）不要紧，我们一个一个来过：
　　LPCWSTR servername：注意这个啊，它可是要求LPCWSTR类型的数据，也就是说，要求用Unicode字符了，如果你直接为它赋值，是肯定不行的，要绕点弯了，有这样一个函数MultiByteToWideChar (UINT CodePage, DWORD dwFlags, LPCSTR lpMultiByteStr, int cbMultiByte, LPWSTR lpWideCharStr, int cchWideChar);
　　这个函数的作用就是用来把单字节转换为双字节
　　DWORD level：用来指定操作级别，不同的用户访问权限，这个级别是不同的。根据不同的级别，可以获取不同等级的系统信息，根据MSDN上的描述，有以下的级别可供选择：
　　
　　0
　　在这个级别里，可以获取用户帐号名，它使用USER_INFO_0 这个结构存储，在ipc空连接的时候是可用的
　　
　　1
　　Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_1 structures.
　　
　　2
　　Return level one information and additional attributes about user accounts. The bufptr parameter points to an array of USER_INFO_2 structures.
　　
　　3
　　Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_3 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_4 instead.
　　
　　4
　　Whistler: Return level two information and additional attributes about user accounts. This level is valid only on Windows NT/Windows 2000 servers. The bufptr parameter points to an array of USER_INFO_4 structures.
　　
　　10
　　Return user and account names and comments. The bufptr parameter points to an array of USER_INFO_10 structures.
　　
　　11
　　Return detailed information about user accounts. The bufptr parameter points to an array of USER_INFO_11 structures.
　　
　　20
　　Return the user's name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_20 structures. Note that on Whistler and later, it is recommended that you use USER_INFO_23 instead.
　　
　　23
　　Whistler: Return the user's name and identifier and various account attributes. The bufptr parameter points to an array of USER_INFO_23 structures.
　　
　　
　　与主机建立空会话，已经可以使用除了4和23以外的所有级别了，4和23被保留了，目前在windows 2000下还不支持这两个级别，他是为了后面的Windows XP版本留的。好了，我们有了上面的信息，就开始写程序了：
　　
　　为了免去诈骗稿费之嫌，我们就举例最简单的level 0 级别操作，在这个级别，你只能取到系统的帐号名，不过这个对于黑客来说，已经足够了J!
　　
　　char netNB[MAX_PATH] = {0