议题作者：透明de面具
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

遇到一个用桃源网盘的主机，因为后台没有修改密码，因此顺利的传上了一个webadmin.aspx的webshell，可以顺利执行。但权限不高

传上去了一个nc，反连回我机器，得到了一个shell
我需要的东西在"c:\documents and settings\adminstrator\桌面\"上，因为权限不够，无法访问
C的根目录也无法访问，因此无法写autoexec.bat，"all user"的启动项也不能写，注册表启动还没有试，估计也不行

对方装了mssql2000，但没有对外开端口，本机网站用的(local)连入。其他机器里很干净，没有什么多余的软件，杀毒软件用的norton~~

暂时连不到，晚一些发上他program files内的目录

请问该如何去提权呢？想不出了
尝试过一些漏洞，但都无果~~

program files如果有权限那试下替换掉什么看下

ASPX 弹回来的NC shell是USER权限的 哦，。可以做很多事的，呵呵 [s:75]  [s:58]
替换服务是没有办法而为之的事了，为什么都那么喜欢说“替换服务”？

[s:75] 同上。sql sniff一下。users 可以做到

sniff 需要什么权限 user是不能装winpacp协议的吧  2003又不能端口复用 如果可以能不能嗅21 不是更好 如果对方不是SERV-U的话 21连接一般都是ADMIN权限很少有人去设置他的权限 只要SNIFF到21应该就成功了一半了

cain的arp怎么搞  一直看不明白 另外 arpsniff可以嗅到3389吗 我看cain里有这个选项 cain可以嗅到吗 感觉嗅探很棒 正在学

传上去了一个nc，反连回我机器，得到了一个shell

这一步有点意思,应该能提权了

只有NC没用的 我有个SHELL USER权限 没能替换的东西 能反弹NC 不知道怎么提权 系统连接SQL也可以看到了不过是DB_OWNER权限  能浏览所有目录 目前想到的方法只能端口复用 嗅21了

用NC能反弹一个shell回来吗？
在他的命令行下执行滴？
新鲜。。是个新思路！

没用的 nc回来的只能执行cmd的命令 诸如一些其他的都不行  郁闷  有人知道上面的说下呀 高手们都干什么呢

对方没有开21，也没有开3389~~

因此这些都行不通 sqlserver是db_owner权限，能看到需要的东西，但xp_cmdshell不能用，无法读取

去看看有没有第三方软件的本地溢出咯。SSDP and UPnP 本地权限提升漏洞 USER组的话可以用他来替换服务