複選題
19. 滲透測試是一個綿密驗證過程，熟悉每個應用環節十分重要，關於個別滲透實例與技術，下列敘述哪些正確？（複選）
(A) 內網滲透測試，挖出網路分享（SMB）主機帳號： Administrator，密碼：Gov*"#~）Tw[x，當您在 CMD 模式下使用 net use 指令時，其寫法為：net use .10.10.1 " Gov*"#~）Tw[x " /u:Administrator
(B) 某 PHP 網站採用 Linux 主機對外開通 SSH 服務，擬將一個 web shell 程式放入遠端主機，其上傳檔案連線寫法可為：scp backdoor.php root@remoteserver:/www/root/
(C) MYSQL 廣泛被用在各類資訊系統，如果試圖利用 MySQL 寫 WebShell 有：union select、lines terminated by、lines starting by、 fields terminated by、COLUMNS terminated by 等寫入方式
(D) Trusted Service Paths 漏洞是 Windows 作業系統提權的一種手法，Windows 服務通常以 system 權限運行，可用以下指令找出 系統服務中執行檔下完整路徑包含空格且沒有被雙引號括起來的位置：wmic service get name, displayname, pathname,startmode|findstr /i "Auto" |findstr /i /v "C:Windows" |findstr/i /v """ 

? 答案判定：(B)、(C)、(D)

? 詳細解析：為什麼 (B)、(C)、(D) 是正確的？

(B) 使用 SCP 上傳 Web Shell —— 正確

• 原理：當滲透測試者已經取得遠端 Linux 主機的 SSH 帳號權限後，可以使用 scp（Secure Copy）指令傳輸檔案。

• 語法：scp [本機路徑] [帳號]@[遠端IP]:[遠端路徑]。選項中的寫法完全符合 Linux 指令標準。

(C) MySQL 寫入 WebShell 的方式 —— 正確

• 原理：這屬於 SQL Injection (SQL 注入) 的進階應用。如果資料庫帳號權限足夠（如 FILE 權限）且 secure_file_priv 未設限，可以透過 SQL 指令將惡意代碼寫入網頁目錄。

• 技術：

  • INTO OUTFILE 是核心指令。

  • 配合 lines terminated by 或 fields terminated by 可以精確控制寫入內容的格式，讓輸出的純文字檔案變成可執行的 .php 腳本。

(D) Trusted Service Paths (Unquoted Service Path) 提權 —— 正確

• 原理：這是 Windows 特有的邏輯漏洞。當服務路徑中有空格且未加引號時，Windows 解析路徑會產生歧義。

  • 範例：C:\Program Files\My Service\run.exe

  • Windows 會先嘗試執行 C:\Program.exe。

• 權限提升：滲透者若能將惡意程式放在 C:\Program.exe，當系統重啟執行服務（通常是 SYSTEM 權限）時，惡意程式就會以最高權限執行。

• 指令：選項中的 wmic 指令確實是用來過濾出「非 Windows 內建」且「自動啟動」且「可能路徑包含空格」的服務。

❌ 錯誤選項辨析

(A) 使用 net use 指令處理包含特殊字元的密碼 —— 錯誤

• 錯誤點：指令語法與雙引號的處理。

  • 在 Windows CMD 中，如果密碼包含特殊字元（如 "、&、^、|），必須非常小心處理轉義。

  • 選項中在密碼前後加了空格 " Gov... "，這會導致密碼被解讀為「包含前後空格」的字串，導致登入失敗。

  • 正確寫法通常不應隨意增加空格，且路徑寫法 .10.10.1 少了雙反斜線 \\10.10.10.1。