你也许会认为:“那又怎么样?你只是可以写入任意文件而已。
那我也只能呵呵
那么我们可不可以来个lpk.dll劫持?可不可以。。。
那么某些情况下的跨目录旁站写shell岂不是轻而易举？

0x04 FTP的一些利用方式

拿到shell后，权限很死，提权一筹莫展，程序的安装目录虽不可修改但可以访问，还可以下载。
如果遇到ftp等字眼，也许这就是转机。

-------------------------------------------------------------------
1.ServU和G6 FTP这类的数据库有默认口令，有时候还可以看配置文件，或者反编译servuadmin.exe得到口令，可以间接执行命令，不再多说。
2.filezilla这类ftp服务一般不允许外部IP连接，可以把lcx端口转出来再连接（他的默认服务端口是14147）。把整个目录打包到本地，避免版本错误。
自己的vps执行：

[AppleScript] 纯文本查看 复制代码

?

lcx.exe -l 3333 4444

再将服务端的14147端口转发到lcx监听的3333端口上，可以用脚本 ，也可以用lcx



在vps上打开打包的Filezilla，连接端口4444，连上之后就相当于在他服务器上打开ftp一样，现在来创建个C盘的ftp服务，然后上传一个你改写的sethc.exe替换c:\windows\system32目录的sethc.exe，然后你懂得


3.flashfxp这类的FTP服务，虽可以配置文件看到密码，但是可以整个软件目录打包到本地，然后打开用星号查看器得到密码，这个服务也许权限不太高，但有可能用来爆破其他服务的密码。

 

0x05 最近比较火的一种新型的攻击方式，快捷方式调用powershell隐藏执行命令
 

已有利用工具，来自俄罗斯的黑阔，感谢吐司大牛分享出来。


 

url一栏是打开快捷方式时私密打开的程序，最后一栏是前台打开的程序，其他任意，图标可更换

看下效果，果然生猛！

你可以用他恶作剧，我们来用他提权。
url填木马地址，start process填ie浏览器的或者其他桌面的图标，生成之后，替换桌面，然后。。。。
有的小伙伴就会问了，能替换到桌面图标了，权限就够高了，还提权干嘛，我说：低权限请参考本文0x03
另外我们可以结合mysql的导出功能，当udf失败时可以用，现在高版本的mysql都不能udf提权了，我给大家做个例子
生成快捷方式之后存在本机磁盘，例：e:\IE
然后

[AppleScript] 纯文本查看 复制代码

?

select hex(load_file('e:/ie')) into dumpfile 'e:/1.txt';

打开e:\1.txt,复合里面16进制内容的code
然后在目标的mysql执行

[AppleScript] 纯文本查看 复制代码

?

select 0x(code,不需要括号) into dumpfile '目标桌面的IE快捷方式路径'；

这样。当管理员在服务器开IE时，就。。。，
 

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/hack/Right/273.html