【 web提权 】
1.能不能执行cmd就看这个命令：net user，net不行就用net1，再不行就上传一个net到可写可读目录，执行/c c:\\windows\\temp\\cookies\\net1.exe user
2.当提权成功，3389没开的情况下，上传开3389的vps没成功时，试试上传rootkit.asp 用刚提权的用户登录进去就是system权限，再试试一般就可以了。
3.cmd拒绝访问的话就自己上传一个cmd.exe 自己上传的后缀是不限制后缀的，cmd.exe//cmd.txt 都可以。
4.cmd命令：systeminfo，看看有没有KB952004、KB956572、KB970483这三个补丁，如果没有，第一个是pr提权，第二个是巴西烤肉提权，第三个是iis6.0提权。
6.c:\\windows\\temp\\cookies\\  这个目录
7.找sa密码或是root密码，直接利用大马的文件搜索功能直接搜索，超方便！
8.cmd执行exp没回显的解决方法：com路径那里输入exp路径C:\\RECYCLER\\pr.exe，命令那里清空(包括/c )输入”net user 70sec 70sec /add”
9.增加用户并提升为管理员权限之后，如果连接不上3389，上传rootkit.asp脚本，访问会提示登录，用提权成功的账号密码登录进去就可以拥有管理员权限了。
10.有时变态监控不让添加用户，可以尝试抓管理哈希值，上传“PwDump7 破解当前管理密码(hash值)”，俩个都上传，执行PwDump7.exe就可以了，之后到网站去解密即可。
11.有时增加不上用户，有可能是密码过于简单或是过于复杂，还有就是杀软的拦截，命令 tasklist 查看进程
12.其实星外提权只要一个可执行的文件即可，先运行一遍cmd，之后把星外ee.exe命名为log.csv 就可以执行了。
13.用wt.asp扫出来的目录，其中红色的文件可以替换成exp，执行命令时cmd那里输入替换的文件路径，下面清空双引号加增加用户的命令。
14.提权很无奈的时候，可以试试TV远控，通杀内外网，穿透防火墙，很强大的。
15.当可读可写目录存在空格的时候，会出现这样的情况：’C:\\Documents’ 不是内部或外部命令，也不是可运行的程序 或批处理文件。解决办法是利用菜刀的交互shell切换到exp路径，如：Cd C:\\Documents and Settings\\All Users\\Application Data\\Microsoft 目录
然后再执行exp或者cmd，就不会存在上面的情况了，aspshell一般是无法跳转目录的～
16.有时候可以添加用户，但是添加不到管理组，有可能是administrators改名了，net user administrator 看下本地组成员，*administrators
17.进入服务器，可以继续内网渗透  这个时候可以尝试打开路由器 默认帐号密码 admin  admin
18.有的cmd执行很变态，asp马里，cmd路径填上面，下面填：””c:\\xxx\\exp.exe “whoami”  记得前面加两个双引号，不行后面也两个，不行就把exp的路径放在cmd那里，下面不变。
19.一般增加不上用户，或是想添加增加用户的vbs,bat,远控小马到服务器的启动项里，用“直接使服务器蓝屏重启的东东”这个工具可以实现，
20.执行PwDump7.exe抓哈希值的时候，建议重定向结果到保存为1.txt /c c:\\windows\\temp\\cookies\\PwDump7.exe >1.txt
21.菜刀执行的技巧，上传cmd到可执行目录，右击cmd 虚拟终端，help 然后setp c:\\windows\\temp\\cmd.exe 设置终端路径为：c:\\windows\\temp\\cmd.exe
22.当不支持aspx，或是支持但跨不了目录的时候，可以上传一个读iis的vps，执行命令列出所有网站目录，找到主站的目录就可以跨过去了。
上传cscript.exe到可执行目录，接着上传iispwd.vbs到网站根目录，cmd命令/c “c:\\windows\\temp\\cookies\\cscript.exe” d:\\web\\iispwd.vbs
23.如何辨别服务器是不是内网？ 192.168.x.x    172.16.x.x    10.x.x.x

转自：https://www.70sec.com/thread-3007-1-1.html