前言：這個滲透過程本來是不打算發出來的， 但是最近有些人總是詆毀我。 我不知道為什么， 難道是因為我太久不出面了么？

目標站點：XX旅游

一：獲得

分站很多的， 首先是一個名叫TV的分站， 是他們多媒體的服務器， 是好友jackal獲得的webshell， 服務器是靠pcanywhere遠程管理的， 這個提權過程我不必說了吧， 相信大家都知道。 所以在此我們就獲得了一臺他們網站的服務器權限了。

二：強大的內網。

安裝pcanywhere并連接， 到服務器， 一般我喜歡是先執行ipconfig/all 查看網關和IP情況。

他是內網為100的機器， (由于這個是事后發的， 過去很長時間了， 所以截圖那時候沒截)。 沒有馬上去抓hash， 去看了下網上鄰居， 內網的網上鄰居有很大的好處， 一般大型內網為了方面文件傳輸都會設置很多共享的目錄， 而且很多時候入侵的拓撲網絡結構可以從網上鄰居中獲得初步的判斷。 如圖

我們可以清楚的看到他的內網有我們要找的信息， 網上鄰居中的 -Lxxxtravel

這個很有可能是他們的主站的web服務器， 如果運氣好的話， 他的web目錄會共享給內網， 我們直接傳個shell進去在翻找sql數據庫連接密碼那就大功告成了。

到這里入侵就應該結束了， 但是事與愿違， 當我滿心期待的進去網上鄰居中的web服務器， 令人費解的事情發生了， 這個網上鄰居又分成好多個機器。 (文章的最后我會把大概的網絡拓撲結構圖發上來， 由于那時候沒有截圖所以現在只能口述了)

三：難關

從網上鄰居的截圖大家可以看到， 內網的機器不像一般的網絡那樣有ip名字， 這些都是以職位或者服務器的作用或者目錄為命名的， 也就是說我們滲透會很盲目， 大海撈針一樣， 畢竟內網太大了。

為了保險， 我用lc5抓出管理的hash， 沒去跑密碼。 他機器上不但裝了pcanywhere的服務端而且也裝了控制端， 或許這將會是突破點吧。 運行控制端， 發現里面有2個機器， 分別是ip為XX.XX.XX.135 和 XX.XX.XX.138。

138是本機也就是獲得服務器的ip。 那135呢， 憑借社工進入了135的機器， 135的機器也是一個分站的服務器是什么已經記不清了， 135是win2000的， 而138則是2003的。

到這個階段， 還是很迷茫， 難道要一個個的ip去試？200多臺內網機器， 都要去搞么 ？

四：突破

不得不佩服臺灣的安全做的很不錯， 而且管理員也比國內的管理員要勤奮(不要罵我， 因為我遇到過很多次， 機器的進程都十分多了， 管理也不來看看的情況。 )。 在我想開始全方面進程內網掃描的時候， 晚上8點， 管理突然登陸服務器， 而且是本地登陸， 我猜測是因為我一直連接著pcanywhere導致管理連接不上(有朋友會問為什么不留個后門進去呢？或者跑出hash3389登陸？

回答是：機器的殺毒過于變態， 紅傘， 跑hash需要時間， 而且時間比較緊迫。 )所以管理本地登陸了， 被迫無奈我退出了登陸， 管理開始查找進程和查看網絡連接， 我等了將近半個小時， 認為管理應該走的時候進行登陸， 誰知道管理還在并且機器上裝有網絡連接監視的軟件， 狀態為開啟狀態， 我一連接pcanywhere， 顯示我的ip為紅色的提示， 沒辦法我只能馬上退出。 那時候我認為權限會丟掉， 在晚上12點的時候我又嘗試登陸進服務器， 沒想到權限沒掉， 慶幸。

這次我沒有急于去掃描， 而是去查看網絡鄰居， 進入了XXvel這個目錄里面， 翻找， 到到了一個為data/comm的機器， 他把web目錄共享了， 我直接丟了個asp的馬上去， 開始猜目錄， 有時候不得不承認運氣是成功的不一部分， 猜到了目錄直接拿到主站的webshell。

當我進行這些的時候好友jackal在主站進行著黑盒測試， 獲得主站的webshell是一個相當大的收獲， 也說明他的共享目錄有值得挖掘的價值， 我有試著翻找， 又找到了他們的數據庫是個300M的BAK備份文件Lxxxx200811172300.bak

直接復制到我的機器上(不是拿到那個服務器)， 嘗試恢復， 可總是錯誤 。

這個時候jackal丟來一句話， 主站是mssql2005的， 馬上下mssql2005進行恢復， 恢復的時候出了些問題， 但是后來還是解決了， 可是恢復出來的東西并不是所想象的那樣...通過朋友得知這個站的數據應該有30萬以上， 恢復出來的才幾千條， 難道搞錯了？

五：峰回路轉

當迷惑的時候， jackal又突然問我主站沒寫的權限？ 我登陸webshell一查看， 果真沒可寫權限， 只能通過內網寫進去， webshell上的權限是沒有可寫性的。 jackal讓我寫個一句話進去， 我納悶， 但是還是寫了個一句話進去， 到此滲透的時間已經過去了3天， 每天都在和管理玩貓和老鼠的游戲， 我一直在忙于突破內網， 而jackal一直在從主站的webshell入手。

在第4天的凌晨2點我又登陸服務器， 發現有幾個pcanywhere的密碼已經被修改， 我直覺告訴我， 被發現了， 如果再進行掃描的話， 從新分析內網結構的話， 暫且不提能不能找到準確的數據庫地址， 萬一時間上正好被管理發現的話， 那一切前功盡棄了， 此時我也后悔為什么沒一開始就進行內網掃描并且著重分析開數據庫連接端口的機器， 只能放手一搏了， 丟了個cain上去， 嗅探。

在早上9點的時候嗅到了一個3389的登陸密碼， ip為192.168.1.65， 登陸， 成功。 但是我不能在進行下去了， 因為管理會在9點左右的時候來打開多媒體。 清理了一下痕跡， 退出了登陸。

六：數據庫在此

當晚上10點我進入了內網， 登陸了65的3389， 直接去查看網上鄰居， 感謝天感謝地， 發現了一個data-erp\backup的目錄， 里面有個備份文件， 但是沒有高興太多時間， 因為他是32G， 太大了， 如果直接轉移備份文件的話， 得5天， 這個時候想了個大膽的想法， 直接在65的機器上裝mssql2005， 之后通過TeraCopy來加快復制速度， 先把備份文件復制到本機， 之后直接恢復， 在導出數據， 那樣的話會縮短很多時間， 而且65的機器還裝了pcanywhere，

Pcanywhere的密碼和3389 的一樣， 通過100的pcanywhere來進行文件傳輸， 當然mssql2005的安裝文件是iso， 必須要用虛擬光驅， 又千挑玩選找到了個不需要安裝可使用的虛擬光驅， 開始復制文件...

按照teracopy的復制速度， 在早上9點的時候就可以完工。

七： 我發現你了

早點9點的時候我滿懷欣喜的登陸100的服務器， 那管理在， 我剛要退出， 人家直接通過pcanywhere來了句， "我發現你了"， 到此所有的內網服務器權限幾乎全部丟失， 悲哀， 管理員把所有的pcanywhere刪除， 只剩下一個hash。

八 我真是天才。

滲透了將近一個星期， 到此就失敗了么？當我嘆息可惜的時候， jackal突然對我說， "我真是天才"， 原來他在webshell里面找到數據庫連接的帳戶， 只不過站點是在內網設置了一個dsn， 沒有ip， 通過海洋的asp馬， 可以連接到數據庫。

到此滲透就已經結束了。 由于網絡中的內網滲透例子很少， 故此發出來， 希望對各位有所幫助。 另祝大家圣誕快樂!