习科小黑板 - Silic Wiki

国内的IDC运营商最常见的模式就是IIS搭配解析asp，有星外，新网，西数，华众等等。。。
这些虚拟主机提权都是相当难。最近小生在和习科核心渗透群里的一次渗透测试中，就遇到了一次。

旁注，同服，虚拟主机服务器，只支持asp解析，aspx和php都不支持
最幸运的是，这个虚拟主机居然忘了禁用wscript
但是服务器上装了流氓软件360和杀毒软件诺顿，虽然我不太理解流氓软件和杀毒软件为何会共存，但是我比较清楚的是，比较难提权。

既然是旁注，那就是想办法跨目录，那么跨到哪个目录呢？
IIS的话，其实是很容易的，ASPX大马通常自带读网站目录的组件，但是asp的话需要执行命令。

使用cscript执行这个脚本就得到iis的账户和密码还有路径了。

有些虚拟主机服务器上有多达上千个asp站，很容易超时，如这个方式执行即可cscript iis.vbs > iis.txt
该主机提权的方式是iis溢出得到system，执行shell.user组件添加用户绕过360得到的。

不过服务器有很多限制

第一，远程桌面服务开启，读取注册表默认为3389，用webshell扫描本机端口3389却是关闭的

nmap扫了下，也没检测到远程桌面的端口

第二，netstat命令被禁，自己传一个netstat.exe也没回显，同样的net.exe也是一样的

即使提权成功了，也没法登陆服务器，不过目的既然是跨目录，那么添加了administrators的用户后，就有办法。

使用iis跨工具工具：iis权限重分配跨目录程序

将这个asp脚本上传到iis的虚拟主机以后，访问，第一个界面默认点“ok”后会弹出如下验证框：

可以输入目标IIS账户的用户名和密码(IUSER_00744 %MjI1NDkyMDA5MTAyNjE)，但是通常这个办法是不太有效的
直接用administrators的账号就更好了，输入刚刚创建的administrators组的账户和密码

这样就得到了administrators的权限来浏览目录，当然这个权限也很容易的就把目标站拿下了
有了自己的思想就有了灵魂，走出自己的路才是真正的技术。