Lsa который юзает дырку в lsasrv MS04-011 не работает под SP2, т.к. сия дыра там прикрыта, под SP2 можно подыскать модификации того же DoS-сплойта MS06-035, сий баг - инклудинг Ring0 кода, если шелкод немного переписать, то можно организовать вызов API фанкции из Ring0... сотвецтвенно повесить bind на порт... еще в SP2 есть бага, позволяющая обойти стандартный фаер, или просто взять и непосредственно из шелкода сконфигурировать фаер, так что тут обшырное поле для действий только вот результатами этих действий бесплатно делится не хочется - так что пиши в личку, может быть договоримся...

ЗЫ. На разработку remonte-сплойтов к SP2 (голому) у меня ушло 4 месяца безсонных ночей... чуть меньше, чем у майкрософта на выпуск фиксов этих дыр ))