bY uSuaL大蝉

注：出于对目标网站的安全考虑，本文屏蔽大部分关于目标网站的资料，敬请谅解。

元旦到了，学校终于给我们放了２天假，于是我用这宝贵的休息时间到网上溜了一圈，随意浏览中偶然发现了一个刚成立不久的门户型搜索引擎，出于习惯对其进行了一番安全检查，结果哑然，网站竟然出现了注入漏洞，而且还是SQL+SA连接，当时我的感觉就是这个网站应该算是over了。由于这个网站分两部分，门户页面和用户交互页面分别使用两个独台独立的服务器，superscan一扫，只有门户服务器开了3389，所以决定先从门户服务器入手。
拿出专用注入工具打开网页，显示出四五个注入点，随便挑了一个，先是往表里写xp_dirtree，然后爆表，目录列了出来，我心里想能列目录，这么说xp_cmdshell 也应该可以用了，于是用xp_cmdshell添加了管理员，喜滋滋的连上3389，却发现刚才添加的管理员不能用，郁闷，xp_dirtree在，说明管理员应该没删存储扩展，cmdshell之所以无法执行应该是注入点的问题，抱着这种心理我连续换了N个注入点，终于皇天不负有心人，当我在登陆界面输入完密码时，出现了”正在应用个人设置”的横条，我心中一阵激动，终于算是让我进去了。进去后一看，问题N多(管理员一定是个吃干饭的)，于是动手帮服务器打了补丁，删除了存储扩展，停掉了不必要的服务，同时对远程桌面登陆的权限作了限制，这才退出来。（谁叫我人好呢）。
门户服务器的入侵还算轻松，可入侵交互页面服务器的路就比较崎岖了，我首先尝试打用xp_cmdshell开3389：＂echo [Components] > c:\db　echo TSEnable = on >> c:\db　sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\db /q＂，执行了，重起了，可是我期望得3389却没有出现，当时我心想也许是管理员用了TCP／IP筛选，没办法，先弄个webshell吧。
弄webshell首先要知道网站目录，通过注册表没找到，只好到目录里看看，让我郁闷的是用xp_dirtree列出了几个分区的目录，却发现所有汉字目录都无法正常显示，这个我的寻找工作带来了很大的困难，经过长达３个小时的锲而不舍的寻找，终于在一堆乱码中找出了网站“在线客服”的目录，发现了名为admin1的后台，找到了login.asp，用浏览器打开，需要客服账号密码，于是回到掏出工具爆表，爆出来“netservice”，紧接着又出来了字段，可账号的内容却又是乱码，账号是“粢鲰鲷1”，密码是“kefu123”，我根据密码猜测账号其实是“客服１”，试了一下，哈，果然如此，进去后找到了上传照片的页面，没有限制上传格式，于是传了个asp小马，满心欢喜的打开一看，吐血，竟然是“非可执行目录”，哎，好事多磨阿，只好用xp_cmdshell把asp小马copy到网站根目录，这次小马打开了，读取注册表中的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip　却发现EnableSecurityFilters"=dword:00000000，看来管理员没有用TCP／IP筛选，那我为什么没能打开3389呢，读取HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp　，结果让我再次喷血，原来远程桌面早就开了，只是端口被改成了1425,看来是有人捷足先登了。添加管理员账号，登入1425端口，输入账号密码，却跳出“连接达到上线”，嘿嘿，看来那个捷足先登的正在里面勤劳工作呢，于是我在xp_shell中执行iisreset /reboot /timeout:00重起服务器，想把他踢出来，干等了半天服务器却稳如泰山，我再再次郁闷，于是在webshell中找到SA的密码，连上SQL，用EXEC执行重起命令，这次服务器重起了，（这让我百思不得其解，system权限不能执行，而SQL 的SA却能执行，两者有什么区别么？如果有哪位高手知道，麻烦告诉我）。服务器很快重起完毕，这次终于成功进入，进去第一件事就是设置远程桌面登陆的权限，删掉管理员组，只允许administrator和我的账号登陆远程桌面，这样别人就是有管理员账号也登陆不了。设置完毕后这才放心，打开计算机管理，察看账号，发现除了我自己的账号并没有其他特殊账号，看来那个先进来的用了克隆账号，到C:\Documents and Settings\ 一看，果然有guest文件夹，这说明guest账号也登陆过远程桌面，既然他用阴的，那就给他来点更阴的，把guest账号改名为g#$u43s*%*(t ，密码改为&#*24wfds#SD&^@%#)*，嘿嘿，他知道克隆账号还在，就是用不了，急死他。
前后经过5个小时的工作，两台服务器全部拿下，这次的收获其一是永不放弃，其二就是不要相信表面现象，多多尝试不同的角度入侵。如果我在开3389失败的时候停滞不前，那肯定没发成功入侵。　J　
End

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力