author:小柯
今天跟木JJ看一个站，顺利拿到旁注站的shell，大致看了下，管理员不是很傻，设置成了虚拟主机权限。目标站的目录跨不了

当然，第一想到的是提权，看到wscrip.shell组件还在

大喜，操上工具一阵
狂搞，不行，能用的会用的方法都试了，还是不行。
IIS SPY可以查看到目标站的路径和IIS帐号密码

但是路径不能直接跨过去,于是试试cpau，第一次用，百度了一下大概的方法，于是写了一个echo到目标站根目录一句话的批处理，想让cpau用目标站的IIS
帐户执行这个批处理的，但是失败了，如图

无法创建进程，是不是权限不够啊。
然后想起BS牛的那个马，前些日子刚学的方法。先把Const bOtherUser=False改成Const bOtherUser=True，当然如果本来就是True的话，就不用改了。然后把这个马传上去，访问出现如下界面

点击OK就行，然后出现如下登陆界面

使用目标站的帐密登陆，结果失败了，当时在想，是不是目标站的帐户无法访问我们有shell的这个站的目录，后来证明是对的。

所以我必须找一个everyone有访问权限的站，IIS SPY看了下，用默认的IIS帐户的站也挺多，就找了一个可以跨过去，也可以写马，那么目标站的帐户应该也可以访问这个站吧。于是传上BS的马到那个站，访问，登陆成功，出现BS马的登陆界面

登陆上去，成功跨到目标站目录

然后就是写马到目标站。。。