拿下了一台机械设备，接下去就最开始留管理权限做侧门了。做侧门的就随意选了一台机械设备，因为以前早已从IDC机房数据库查询得到 了整治员登陆密码，这儿就自身建立一个admin的整治员管理权限客户，等同于提权之后在没得到 整治员登陆密码的情况下做一个侧门演试吧，对于为什么做WINDOWS而不做LINUX的呢，因为沒有哪一个整治员用LIUNX机械设备来做为事儿机械设备，要想挽救全部段的管理权限，不经意是控制住整治员的机械设备才算是最好是的设备，最好是挑选能于整治员的事儿机械设备举办通信的网络服务器来做侧门，操纵好才机会不丢。次之LINUX的侧门要编译程序诸多核心安裝头文件啥的，也要去google检索，也也不干了，简言之LINUX的侧门只不过便是Rootkit罢了，在置放好多个suid的shell，履行ava掩藏一下。确实最关键仍旧通信难题，吸引起点、跳板才有机会，不然你空有一堆整治登陆密码，没设备举办通信，也仅有眼巴巴看着的份了。

直穿主题风格吧，截屏都花了很多是多少時间，还得更文:

登陆网络服务器之后最先quser查询登陆对话情况，这是一个良好的习惯，

为何，两个原因缘由，第一，碰到整治线上立即先撤出吧，省多像以前一样，被踢了出去。用WEBSHELL提权立即上一远程控制吧。第二，如果有整治员初始化的对话，能立即从LM中载入整治登陆密码密文。(纵使沒有，登陆过要是没重启动，都能载入到的。)

开启IIS控制面板。发觉很多网站，在做WEBSHELL侧门的時刻，千万不必挑选通道网站来做侧门，只要挑选其他网站。选择了一个网站之后打开网页网站根目录，随意挑选一个文件夹名称，建立Windows中没法或无法根据一切正常方式举办建立、查询、删掉等实际操作的小強文件夹名称。别名畸型文件夹名称。一声令下为：

1 MkdirC:\dir_name..\

能够见到没法一切正常双击鼠标开启该文件，并且如果有同名的的文件夹名称是能进到，但确实是进到到另一个文件夹名称中，未知因此的也不知道咋回事。如 有一个dir_name的文件夹名称，建立了dir_name..畸型文件夹名称之后，双击鼠标dir_name..文件夹名称是进到到dir_name文件夹名称中的，并并不是进到到dir_name..文件夹名称中，进到畸型文件夹名称用一声令下行:

1 StartC:\dir_name..\

或是用最开始运作打上相对路径： C:\dir_name..\

一顿敲一声令下丢上马。IE会见之。

重视：IE会见WEBSHELL途径的時刻要少一个. 标记。

这時刻或许你能说，整治在这个文件目录见到这个文件夹名称该怎么办？不就知道？这時刻就需要采用HHTC这器材了，一个同犯写的好器材。这器材可以把HTC开始的全部文件夹名称和文件夹名称都能掩藏起來。纵使有途径也提示沒有该文件，也删不掉。如图所示，Library文件夹名称下早已看不见HTC_door..文件夹名称了，但是还能开启畸型文件夹名称。

WEBSHELL查询一下管理权限，是network service。

复制一下客户，因为器材加壳了。-L好像出了点难题，但是能一切正常复制也就不管了。SID的获得还可以从注册表文件的部位查询。在Windows/xp/和WindowsNT里，默认设置整治员账户的SID是坚固的（0x1f4），那麼大家可以用机械设备里早已存有的一个账户将SID为的账户举办复制，在这儿大家挑选的账户是IWAM_XXXX-0CTTPZWNXH（XXXX-0CTTPZWNXH为已被攻占的网络服务器机械设备名) 复制此客户为了更好地提高防御性，并且是IIS的客户，整治都不容易禁止使用掉。

重视：绝大部分机械设备里IWAM_MACHINE客户的SID都为0x3EB。

复制乐成！随后开启IIS应用软件，挑选ID菜单栏，挑选最下边的以系统软件管理权限运作。

Webshell立即侵吞CMD，查询管理权限，早已是system最大权限了。

DIR文件目录一下，确实是看不见HTC_door..文件夹名称了。

然后获得LM登陆密码密文。这儿IUR和IWM的IIS客户登陆密码还可以记录一下。因为复制的時刻最好是都复制上。查询整治组，发觉以前有偕行来过，不外遭遇整治封禁了。复制的客户沒有显示信息在整治组的。确实和手工制作注册表文件复制是一个基本原理的。登陆的時刻提取的是Administrator的客户。（ps: 这整治员的登陆密码有够巨大够长的。）