。。果断丢御剑。

FCK编辑器拿shell还是比较简单的，直接二次上传。。

拿到shell之后看了一下，权限还是很大的，于是乎准备提权。先看下组件。

wscript.shell被删了。看下脚本探测。一看支持aspx ，果断换马。接着上传了个cmd到C:\RECYCLER。。看看能不能执行命令、

可以执行命令。 ww.2cto.com 但是net user却没回显，应该是net被禁用了、、果断上传ms11080。

成功添加用户。。但是连接的时候却这样

果断试下第二种方法。。把下面代码保存为1.vbs

Set o=CreateObject( "Shell.Users" )

Set z=o.create("user")

z.changePassword "12345",""

z.setting("AccountType")=3

然后以system权限运行。。会添加一个用户user密码为12345、、

成功执行。。但是还是不行。。

 

 

估计是第三方软件阻止了。果断tasklist。。

 原来有安全狗。。
试了下远控无果。。

于是准备劫持shift后门、、直接替换sethc。。

连接看看。。5下shift。没看到后门。

于是看了下进程。。发现是、、

果断替换MY_sethc。。5下shift。如图。

果断登录上去加用户。。无果

打开安全狗。。看下，被拦截了。

果断关闭帐号防护。因为net被禁用了，所以直接运行ms11080或1.vbs成功添加用户。如图。