跳到实际问题的第五段，在此之前是一些背景知识。

我是一名对计算机和渗透测试感兴趣的高中生。鉴于对我学校计算机上学生级别访问的限制，我经常尝试提升权限以获得对我需要的资源的更完整访问（有时与学校相关，但仍然受到限制）。尽管我经常做这类事情，但我从未真正期待任何重大成功。

不久前，我惊讶地发现一个没有密码的本地管理员帐户，但是除了 C:\ 驱动器和诸如任务管理器和命令之类的工具之外，它并没有提供对我无法访问的任何东西的访问权限迅速的。换句话说：对我来说，这远非一个重大发现。

最近，我偶然发现了一个 Fuzzy Security post-exploitation/privilege escalation tutorial ( here )，其中提到在自动桌面设置留下的配置文件中寻找敏感数据。查了好久才知道，学校网络上的513台电脑都是这样设置的。在 C:\sysprep\unattend.xml 中以明文形式找到网络管理员密码，我仍然感到惊讶。

自从找到它以来，我进一步研究了可以做些什么。我发现的范围从访问所有学生和教师文件（在某些情况下包括考试和考试密钥）到远程连接到学校服务器和地区服务器以将用户添加为学生、教师、管理员和员工，以及修改上述用户的 netlogon 文件，使他们在登录时运行恶意程序。其中大部分我已经调查过，但由于害怕被抓住而没有进行测试。

我的问题是我是否应该在滥用它的人发现它之前告诉学校技术人员，如果是这样，如何以不会导致我受到惩罚的方式这样做。我担心的是，如果我报告它，我对网络管理功能的探索的证据对他们来说将是恶意的。我想做正确的事，但如果结果是这样，我宁愿不要惹上麻烦。