大清早的，还没起床，X档案的稿费通知单就到了。高兴啊，马上起床上X的论坛报个信，然后在网上闲逛。不知不觉中来到了“唐古拉”主站，由于习惯，便试着免费帮它做一次安全检测。

二、首战告败

由于本人是个菜菜，技术过于有限，工具检测自当首选。操起啊D2.32就是一顿狂扫，果然不负众望，找到四个注入点，拿其中一个检测一下。天啊，居然是SA权限，难道上天这么可怜我，次次给我SA权限？接着干嘛呢？猜表猜列猜用户名和密码登录后台，再想办法得到webshell？这种体力活我是不干的，除非迫不得已。SA权限嘛，我怕谁。用我以前的老办法就行啦，先列出WEB目录，然后用SA写入一句话，再写入小马，再写入大马不就行了。还猜什么用户名密码嘛。当时我是这样想的，因为这样的确可以很快搞定SA权限下的站，不过条件是要能列出WEB目录，而且WEB服务器与Data服务器要在同一服务器上才行。如果WEB服务器与Data服务器分离的话是根本上列不出WEB目录的。唉，很不幸，唐古拉这个站就是列不出WEB目录，郁闷啊！一连列了几个盘都提示内容为空，程序不能进行检测，难道现在去猜表猜列？虽然是个菜菜，但是说了不猜就不猜，我就是不猜你，不信拿你不下。

三、二战凯旋

注入这条路我不能走下去了，因为说过不能猜它嘛。上传我也懒得去看它了，老弄这些也没什么新意思。在X的新书发布那里看到了11期的目录里有一篇职业欠钱大侠写的“Windows菜鸟最新入侵****，从IIS写权限下手”的文章。觉得很有意思，不过X的11期的书还没到，我看不了，又卖不到（各位老大请允许我痛哭N秒，5555555555）。无奈之余就只能凭着这条“IIS写入”的信息在网上狂搜资料了。皇天不负有心人，终于让我找到了相关的利用工具，至于使用方法嘛，自己折腾了半天也总算学会了。废话说了不少（偶从众菜菜的鲜花和鸡蛋堆中走出来继续战斗），下面开始“二战”。拿出刚刚刮回来的Zwell写的“IIS写入漏洞扫描工具”对目标唐古拉的IP扫了一下。发现老天爷对我真的很不错，漏洞存在！这回终于有法子搞了（奸笑N秒……嘿嘿……）。既然漏洞存在就好办多了。右键选中目标，在弹出的菜单中选择Put file，为文本取个名字，内容就是ASP马的内容，填好之后按PUT按钮就OK了。提示成功上传了，然后再拿出老兵的“老兵IIS可写权限利用”工具继续作战。填好相关信息就提交数据包，返回成功了。接着访问我们可爱的马儿。到此，webshell已经成功拿到手了！

四、向服务器权限进军

有了webshell办什么事都方便多了，现在目标是拿下服务器权限了。这样就需要得到更多服务器的相关信息。试着执行一下命令发现拒绝访问了。看来webshell的权限不是很大，不过任意目录能跳转已经算好运的了。再跳回站点根目录，发现有N多aspx文件。嘿嘿，这回又有得搞了，一般aspx马的权限要比asp马的权限高。试着上传了lake2大侠的aspx马WebAdmin2XF（是个aspx的好马^-^），访问发现成功解释执行了，而且还可以成功执行命令。执行net start命令发现开了Serv-U FTP 服务器、Terminal Services。这两个服务，在我们的渗透过程里无疑是最想看到的了。Serv-U提权也是众多提权方法之中比较火的一种了，如果Serv-U的默认连接密码没有改的话直接是以系统权限执行任意命令的。最近又在学习提权，这方面的N多脚本马已经问世了。试着用aspx马执行添加用户命令，发现无法添加。虽然aspx马的权限比asp马的权限高了，但是还不能直接添加系统用户。那就要试下Serv-U提权了。上传了Goldsun的Serv-U提权asp马。执行添加一个用户名为hackest的用户，并添加入管理员组，提示成功。然后用aspx马执行net user命令发现已成功添加了一个hackest用户。再SuperScan3.0扫描一下3389端口，发现开放。再下来当然是连接了，不过发生了意外，根本没有出现登录框，3389无法进去。成功添加了用户不能连接无疑是世上挺郁闷的事了，这种情况我还是第一次遇到，一下子还没有办法解决！

五、曙光再现

还是再回到webshell里看看吧，到处转了转。又发现目标服务器上还装了pcanywhere！天大的好消息啊……（激动ing）用SuperScan3.0扫描一下目标服务器的pcanywhere默认连接端口5631，发现开放。赶紧跳到C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\目录下看看有没有pcanywhere的密码文件，发现一个CIF文件，应该就是密码文件了。二话不说，下载回来，用PCAnywhere PassView v1.11查看密码。然后用PCAnywhere连接，终于连接上了。虽然目标服务器处于锁定状态，但是有了管理员权限还有什么不能做的呢。点击“传送Crtl+Alt+Del”出现了windows登录窗口，用户早就加了，还等什么，赶紧登录进去。个人感觉pcAnywhere就是太慢了，比不了windows自带的远程桌面！虽然服务器权限已经拿到了，不能登录3389还是不爽。

六、终结3389

于是又上网大量查找关于刚才连接3389出现的那个问题，原来是一个dll文件被不兼容版本的覆盖了。装了旧版本的pcAnywhere就会出现这个问题。还有一种情况就是装了gian2000也会出现这个问题。根据现在的情况应该是装了旧版本的pcAnywhere造成的了。这也只是我个人的推断，如果有错还请各位大侠批评指正。既然是一个dll文件被替换了，那我再把它替换回来不就可以登录3389了么。想到是没有用的，做到才有用！于是用的远程控制功能pcAnywhere添加了一个具有最高权限的FTP用户，用于传送文件。虽然pcAnywhere也有传送文件的功能，但是我觉得还是用FTP快点。要替换也要知道哪个文件要被替换才行，而且替换了那个dll文件之后要不影响服务器相关功能才行。分析之后初步确定要替换的文件就是awgina.dll，这个在3389连接弹出的框中已经很明显了。但是用哪个文件替换它才能正常连接登录3389呢。经过大量的资料查阅，发现安装旧版本的pcanywhere的时候，pcanywhere会把windows的msgina.dll文件用它自身的awgina.dll替换掉！那么一来，只要把awgina.dll用windows自带的msgina.dll替换回来不就可以正常连接登录3389了吗！于是在我自己的XP系统中找到msgina.dll了这个文件，用FTP连接工具连接上目标服务器，备份了awgina.dll之后，用msgina.dll替换了上面的awgina.dll。再连接3389，发现已经可以正常连接了。pcanywhere的远程控制功能也可以正常使用，那么基本上说明替换了没有出现什么问题就可以了。目标服务器还是大家伙呢，4个CPU哦！还是Xeon啊……真是个牛X的服务器！至于替换dll文件的问题如果有错请大家批评指正，因为我也是第一次遇到这种情况，不知道怎样解决，方法又是自己乱弄出来的，不知道会不会对目标服务器造成不良影响。具体操作就参考我的操作录像吧，不明白的话随时上X的论坛找我。ID：hackest。

七、总结

其实这次入侵主要是利用了IIS权限写入漏洞。其实大家渗透的时候也不一定非要注入、上传什么的。多点收集目标的信息，进而突破。注入不是万能的，SA的注入权限有时候也会发挥不了作用。还有想说下的就是各位写文章的大侠们，技术文章和其他文章不同，懂就是懂不懂就是不懂，自己不明白的部分，不要随便一句话带过就了事，那样作假的文章看了不但害人也对X不住，骗稿费的行为是可耻的！总之，安全是一个整体，任何一方面做得不好都会给整个服务器带来致命的威胁。最后想说的一句话：没有绝对的安全，只有绝对的不安全！