提权【5】

(( 常见杀软 ))
360tray.exe  360实时保护
ZhuDongFangYu.exe  360主动防御
KSafeTray.exe  金山卫士
McAfee McShield.exe  麦咖啡
SafeDogUpdateCenter.exe  服务器安全狗

(( wscript.shell的删除和恢复 ))
载wscript.shell对象，在cmd下或直接运行：regsvr32 /u %windir%\system32\WSHom.Ocx
卸载FSO对象，在cmd下或直接运行：regsvr32.exe /u %windir%\system32\scrrun.dll
卸载stream对象，在cmd下或直接运行：regsvr32 /s /u “C:\ProgramFiles\CommonFiles\System\ado\msado15.dll”
如果想恢复的话只需要去掉/U 即可重新再注册以上相关ASP组件，这样子就可以用了


(( 如何找到准确的终端连接端口？))
在aspx大马里，点击“系统信息”第三个就是目前的3389端口
或是执行命令查看正在运行的服务：tasklist /svc
找到：svchost.exe         1688  TermService
记住1688这个ID值，
查看开放的所有端口：netstat -ano
找到1688这个ID值所对应的端口就是3389目前的端口
或者可以使用S扫描器 对1-65535 开放的端口扫描 或者可以用Shell自带的端口扫描


(( iis6提权提示Can not find wmiprvse.exe的突破方法 ))
突破方法一：
在IIS环境下，如果权限做得不严格，我们在aspx大马里面是有权限直接结束wmiprvse.exe进程的，进程查看里面直接K掉
在结束之后，它会再次运行，这时候的PID值的不一样的。这时候我们回来去运行exp，直接秒杀。
突破方法二：
虚拟主机，一般权限严格限制的，是没权限结束的，这时候我们可以考虑配合其他溢出工具让服务器强制重启，比如“直接使服务器蓝屏重启的东东”
甚至可以暴力点，DDOS秒杀之，管理发现服务器不通了首先肯定是以为服务器死机，等他重启下服务器（哪怕是IIS重启下）同样秒杀之。

https://www.70sec.com/thread-3007-1-1.html