拿着啊D 在胡乱的扫站，扫到一个飞龙网的注入点，权限为db_owner，如图一，轻车熟路的通过日志备份获得到一个webshell，这个具体过程就不再废话了。

                 

                                                                                                   图一

    进了webshell大体看了下，权限非常低，于是上传了个php的马上去，因为在刚才用啊D列目录的时候看到有个php文件夹，所以想到服务器是支持php脚本的，php比asp权限高的多，找了个免杀的php大马传上如图二。

                                       

                                                                                            图二

　　php默认是以\network service身份启动的，netstat –an看了下3389是开放的，而且外网可以直接telnet上，如图三:

                     

                                                                                             图三

　　所以直接加个用户服务器就搞定了^0^,直接执行shell命令加用户失败，于是想着通过mysql提权，这次根本没看SERV-U,整天用它提权早就提厌了，首先在服务器上找到一个php连库的配置文件，打开得到mysql的账号和密码，如图四                   

                   

                                                                                      图四

然后上传个免杀的mysql本地提权小马，如图五,提交连接后我们就要到处udf.dll为我们待会创建函数做准备，导出目录为windows的目录如图六。

                                        

                                                                                          图五

            

                                                                                图六

　　由于我刚才已经导出一次了，所以出错提示已经存在，下面我们在sql里创建函数，执行create function cmdshell returns string soname 'udf.dll'，然后我们就可以通过select cmdshell('net user user password /add');来执行命令了,如图七。显示完成，但是现实往往是残酷的，下面的过程才是鼓动我写这篇文章的“罪魁祸首”。

              

                                                                                         图七

　　net user下并没有我建的用户，如图八 ,郁闷中，mysql本来就是用system的身份启动的，怎末会加不上呢，原因只有一个，那就是这个变态管理员把net.exe的权限设置成刺猬了，谁都碰不得，包括管理员在内，后面证实了这点，哎，自己不用还不让人家用，管理员太不厚道了，既然是system权限启动的，那就有加用户的权限，但是通过net加用户是不行了，这时很自然的想到了两个api，NetUserAdd()和NetLocalGroupAddMembers()，你管理员可以禁止程序但是我就不信你能连api函数也一块禁了，便三下五除二写了个加用户的小程序add.exe，上传后执行，如图九

                         

                                                                                  图八

       

                                                                                                图九

　　net user 查看如图十，正兴奋的连3389时却蹦出来个这样的提示，差点没吐血，如图11，管理员真够变态的，管理员也不让登3389，于是又把刚才那个程序加了句NetLocalGroupAddMembers(NULL,L"Remote Desktop Users",3,(LPBYTE)&account,1)重新编译 了下，上传执行，结果如图12： ，连接3389，成功登陆，如图13： 中间其实还走了很多弯路，甚至把对方telnet反弹到我机器上来了，在那证实的net的权限问题，呵呵总算是拿下了，清日志，补漏洞，走人!

                

                                                                                                  图十

                

                                                                                                   图11

                         

                                                                                                       图 12

                                               

                                                                                                     图13