天天在网上转悠，总看到有网站被黑，我对那些入侵高手的技术佩服得心悦诚服，敬仰之情如同滔滔江水天上来。这天下午我在和sophia闲聊，他请我搞站，我看心情好就同意了，和sophia一起渗透该网站。一直忙到晚上3点才搞定，搞定了没事做就想写点什么，写什么好呢?就把渗透过程写下来好了，希望能给那些在黑色道路上不断摸索前行和彷徨的朋友一点点启发。

　　http://www.xxx.cn/(ip:xx.103.160.22)是一大型信息港门户网站。xxx.cn有以下特点:1.二级域名多，至少20个，根据ping完后的结果看。那些二级域名都没有绑定在一个ip上面，自然也就不在一台服务器上咯;2.支持的脚本语言多，首页上有jsp,php,asp.net,asp，等等。3.信息量打得惊人，很多东西哦都是链接到其它网站或二级域名，单这些就可以把人搞得昏头转向。对于这种站，只有搞过的人才知道入侵它是多么累，多么痛苦。

　　个人觉得这种站要害还是要找到合适的入手点，找到致命的漏洞。搬出domain旁注一下，发现该服务器只绑定一个域名。就先先具体了解下网站吧?.究竟 知己知彼 百战百胜嘛!几只烟下来，开始有点小晕了.主站上面虽然支持脚本是比较多,但动态页面似乎少的可怜.其他的都是连接到二级域名的!看来只能从主站入手了我先看下网站有什么直接的漏洞比如注射啊，上传漏洞啊。于是开始了慢长的搜寻过程。首先当然是拿比较熟手的asp了,不错.开了主页就找到个asp链接，后面还带参数的.哈哈!赶紧and 1=1试一下，不爽!这家伙居然用通用防注入程序再仔细找也没有发现注入点。再试下aspx,提交什么都返回整页的错误，没办法。jsp的页面也没有问题。看到有php的页面，眼前一亮.说不定他开3306了啊。。扫个若口令，不错!请出nc ip 3306 很快连接了上去.返回信息了4.0.24的版本，首先注射查询里使用union  函数是满足了.来登陆下先..mysql -hip -uroot .嘿嘿，起码的先来个空口令嘛。很不幸运，失败了，顺便又猜了几个常见的若口令，均失败告终.看来投机是不成了.老实点来吧!又一次钻入主站，开始搜寻传说中的php注射点，终于找到个看起来有点问题的页面!

　　http://it.xxx.cn/publicpress_content.phpid=96/**/and/**/1=2/**/union  /**/select/**/1,1,1,1,1,1,1

　　由于系统过滤了空格，就用/**/代替好了，可是连字段数也没办法也猜不出来，估计猜表名也很困难，只好放弃了。

　　找到http://gongqiu.xxx.cn/fabuinfo.asp,这是发布供求信息的地方，注册后可以上传图片( 限 jpg 格式 )。我正预备抓包，却发现上传一个正常的图片也不行，看来上传的地方出了毛病。

　　最后在http://www.xxx.cn/life/lifehtm/pro_list.asp下面找到个搜索的框框，输入要害字反探测'返回:

　　Microsoft OLE DB Provider for ODBC Drivers 错误 '80040e14'

　　[Microsoft][ODBC SQL Server Driver][SQL Server]第 1 行: '%' 四周有语法错误。

　　/life/lifehtm/pro_list.asp，行94

　　接着输入“反探测' and 1=1 and '%'='”和“反探测' and 1=1 and '%'='”返回不一样，这就证实有注射漏洞。手工注入累死人，抓包嗅谈地址，如:http://www.xxx.cn/life/lifehtm/pro_list.asp?protype=%C6%E4%CB%FC%CE%EF%C6%B7 ,用nbsi注入不了，用啊D工具检测还是DB_owner权限，支持多句执行，权限虽然不大，但是还可以列目录，在他的3个盘里面仔细查找，只发现一些数据库备份，没有任何网站目录，想到数据库和web分离的，也不知道这台数据库机器的ip,备份得到webshell的思路估计是没门了。猜解表名没找到诸如admin啊,manager之类的表.又在主站上面搜索了回后台，没有找到.看来这注射点利用价值也不多了.列出还有C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/目录，但配置文件现在又拿不到。

　　这时候sophia的扫描结果出来了，superscan扫描速度真是快啊，看来只有从内网入手了，并不一定是arp嗅谈啊，那东西得看运气，十有八九会出现Spoof的错误，这个问题曾经在E.S.T里面热烈讨论过，但是一直没有人很好地解决。 扫描同一网段机器的端口。

　　仔细分析了一下这些内网机器所开的端口,让偶发现了点小秘密。大部分机器都开ftp的21端口了，观察之后发现连接信息是诸如xxweb,xxdatabase之类的，另外返回信息里面看不到ftp的用什么,但有个220.好家伙!聪明点人的不难发现那些代表什么意思了!当然是serv-u了啊。.还有积聚、就是是很多机器都开了5631的pcanywhere端口，一个内网为了方便应该装点远程控制软件来治理主机吧?连了好几个3389都没成功.这时候我感觉5631能够带给我们好运气。这么多机器ftp信息是有规律的,pcanywhere也应该多少有点联系的..社会工程学?嘎嘎! 大概的思路已经出来了,先拿几台机器的webshell提权或者直接下他的pcanywhere的配制文件,之后运用社会工程学or嗅谈(当然嗅谈是最坏的打算了)来拿到目标站.ok!和sophia开工了，先得拿到一个webshell再说。

 

网管一定要看 渗透某大型信息港网络全过程搞个webshell也吃了不少苦头，里面网站的内容比较单调，而且被不明人士早就光顾过。好不轻易在xx.103.160.48的机器用动网默认数据库上搞了个webshell.当然是直接到C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/下面把cif文件下下来，有2个配置文件.下载一个pcanywhere密码查看器，轻轻的点击了下破解.可爱的密码就这样出现在了我面前?

　　哈哈!还等什么?登陆咯.成功登陆.但似乎发现个问题，计算机处于锁定状态.郁闷!社会工程学先.破解出了2个cif的密码.之后又自己组合以下.开始尝试登陆，尝试是件很痛苦的事情.看着错误提示一次次蹦出来.心理贼不爽!几十个密码下来了就很累了.看来此路似乎不通。还是回webshell想个法子提权吧?2000的系统，先查看下组件，还不错.组件能卸的都给卸了比如wscript! 执行下cmd,返回没有权限。不行，提权怎么说也的先弄个cmdshell.之后跳了好几个目录，都失败了.想传个cmd上去都没地方 想了一会.不是还有那个jet引擎溢处吗?虽然权限是低了点.但至少也是个cmdshell啊.赶紧去下载了个回来.很顺利的生成了个mdb文件.之后本地nc -v -l -p1234监听1234端口.再回到webshell数据库操作那里.输入路径，连接!进度条开始走了.视线锁定在了本地nc那.几秒过去了.哇偶!看到有信息过来了.哈哈!正合我意.正预备输命令时.希奇了，怎么断开了?回webshell看了下，晕哦!灾难性毁灭!明显的服务器是打补丁了. 这点希望都给我破灭了.提权看来也困难了啊。

　　有必要换个思路了.他内网不是有好多机器开5631吗?哈哈!思路来了!这会社会工程学多少能用到用场了.拿那2个密码开始尝试登陆其他机器的pcanywhere,说了自己很幸运的嘛.20多太机器.居然登陆成功了差不多一半的!嘎嘎..不过还有个坏消息，就是机器都是锁定的!得有windows登陆密码才行啊。大概了解也就这么多了.登陆系统要密码，治理员密码一个也没有.唯一的方法也就只能继续社会工程学猜密码了.唯一的资料就那2个cif文件了.点跟烟，算正式开始了.连接xx.103.160.12 .发送ctrl+alt+del，很快熟悉的登陆界面在次出现在眼前.哇哇!开始猜密码咯!精力旺盛啊..一口气猜了20多个.好家伙，居然还是登陆失败.我换一个来，3台服务器猜完了，累了!有点快失望了!放松下.找个mm聊天先，开q看了下.哇!居然没有一个mm在线?还是继续吧? 那就连xx.103.160.21吧!

　　这次我换个新鲜点的密码来.see了下cif密码.其中一个是cfs1234a，这密码好.多少有点规律啊“1234”哈哈!多好记? 那我就来cfs1234abcd咯.输入密码登陆!希奇?居然没出来密码错误的提示? 哇，终于成功了.兴奋呀. 一个治理员密码就这样叫我给破解了出来. Qq通知了sophia ，这可是突破口啊，要好好把握.回头看了下xx.103.160.21开的端口，只有21和5631.这叫人如何是好?还是进去看下他系统.不知道怎么回事，这次看到这桌面倍感亲切，桌面好整洁啊!如图:

　　不小心看看有个pcanywhere的客户端.呀?里面不会有目标站的pc连接吧?那样岂不爽哉!赶紧打开看看发现没有.再理一下思路.先看下他和目标站或者其他站有无共享之类的.net view看一下，空的. 网上邻居看下，还是空的.晕!这是什么意思嘛? 很简单几下.一跳路就断了.这机器看来用处也没多大了.还是搜索点资料继续社会工程学吧!至少那样猜其他机器治理员密码时候资料可以多一点哈!query use看下. 哇哇。。居然有个治理员在线啊?查看他密码那是必然的了.传个mt上去先(个人还是比较喜欢用mt.功能比较多.体积也小.嘿嘿!).开了cmd，cd到mt目录输入命令mt -findpass.乖乖,我和另外个在线的治理员密码都出来了.恩!不错!看下那密码,着实是有点强悍..不愧是治理员.哈哈!多了个密码了.对了,不是他开5631了嘛?去看下他还有其他的pc的治理员没?很快打开了C:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere/这个目录，找了配置文件又有2个.哈哈.看来还有个治理员.二话不说下载了先..之后本地破戒那是必然的嘛? 到这会了.能拿的密码 也就这点了?莫非这机器就用这么多?有点不甘心.翻翻他盘吧?多少捞点东西回去.心理也好平衡一点啊。嘎嘎!晕..就2个盘.c 盘不到一分钟就浏览完了.标准的一个系统盘-_-! 还有个d盘.希望能给我带来好运气.

　　双击一下盘符，近来了，好熟悉的名字啊!flashfxp，这可是好东西啊?马上下回了本地(pc有点小卡).网吧速度就是不一样,不到20分钟就下完了，跟家里那1m网速没的比啊.哈哈!废话先不说..打开看下flashfxp 能带来什么好东东不?居然“显示试验期以到，请输入注册码“ 不会吧?治理员拿这作什么啊?居然没注册!搜索个注册码也花不了多长时间的呀?还是自己动手了，很快google到了.验证成功了，很快找了连接信息里面的历史记录.眼前一亮.哈!ip那居然填xx.103.160.22 (就是目标站的ip).连到了网站目录传个马上去之后在浏览器打开.q通知了sophia 到此成功入侵了目标站:www.xxx.xn，而且cmd可以用哦，serv-u溢出就得到了系统权限。

　　接下来的事情还没有完呢,你以为我那么快就闪人啊!运用pcanywhere密码和windows密码的规律性再加上ftp密码我们登陆了内网的大部分要害主机。sophia再给它们种上免杀的灰鸽子，sophia在网吧做事，只好上肉鸡玩它们，机器一台台地上线了，再给职业欠钱兄种上他的专用后门。

　　这次入侵虽然难度不大，但是够麻烦的了。部分机器的脆弱性导致整个内部网络失守，我想不通他们为什么不喜欢用防火墙，假如有了这个，我至少也得多忙几个小时吧。玩黑很多时候就要靠耐心还有敏锐的观察力，社会工程学也是一种能力。某位牛人说过，入侵靠的是三分技术，七分思维。能够快速的找到目标的薄弱环节，不放过每一个细小的漏洞，带给目标最致命的攻击，这才是黑客的精神所在。希望能够结交些真诚的朋友，能够在技术上交流和共同进步，可以到http://bbs.hx95.com上面找我们。