一日群里童鞋发来一个站，是xx大学二级站点，问我可不可以拿下，于是乎群里同学们群情激动，一阵过后，有位同学发现了个前辈留下的shell，一看是落叶牛的shell，默认密码admin，进去了！于是乎那位童鞋把shell给了我，说给大家演示下提权和内网渗透！

    我一看组件基本都在，目录权限也大，脚本asp php aspx都支持，mssql mysql都有！心想这个估计很容易！于是乎答应了！

      穿了个cmd上去，执行whoami

      在执行systeminfo看看补丁情况，这个图就不截了，补丁打的比较全，我是没有什么独门的本地溢出！转向数据库提权
    先查看了下一些数据库连接文件，找到了sa，但是网站和数据库是分离的！先把这个sa留着，内网渗透用！
    于是乎我再执行了下tasklist /svc

      里面有filezilla nginx RemotelyAnywhere.exe mysqld-nt.exe
      执行sc getkeyname "MySQL"

     执行sc qc MySQL

     转到此目录，可读，于是乎下载user表，拿到了root密码
   这个时候有了root就需要php提权脚本了！但是asp 和aspx网站所在的目录不支持php，因为iis没有配置php模块，上面已经看见了，他有nginx，查看mysql路径的时候也看见了NPMserv，这个是一个nginx php mysql的集成环境，于是乎查看nginx配置文件d:\NPMserv\nginx\conf\vhost.conf里面有域名 路径等信息，有三个php的我网站，一个是外联的别的服务器网站不在此服务器，一个网站是坏的，最后一个可以！于是乎上php大马！权限很大啊！administrators权限，直接开3389
     执行REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
    问题来了这个是内网啊！怎么3389当去呢？用lcx是最常见的了，但是不成功！这个后面再说！于是乎我就使用aspx的木马上面的端口转发
   先本地监听lcx -listen 7788 6677

    然后用本机的mstsc远程连接，但是一连接就断开了！不成功！于是乎用终端加强版连接127.0.0.1:6677
    成功
   这个web服务器就这么拿下了

    内网渗透开始（其中是各种请教啊！萝莉同学，fans同学。。。。。）
  有一台web服务器，于是乎加隐藏帐号，gethash，分析网络拓扑结构，交换机连接内网的6台（至少是6台），在接入路由器，没有设置域控制！
  用web服务器连接db服务器，当然我用sa权限已经开了3389，但是连接总是超时，加强版也不行，于是乎了hd反弹sock5代理，悲剧的没法，lcx转发也不行，反正只要是软件级的程序和其他电脑连接都不行，我猜测是交换机做了端口的限制（猜测），既然这样那我就用脚本级的代码reDuh的80端口来！但是是不行的！一样是超时！为什么呢？因为他的数据传输还是用web服务器的连接db服务器始终会使用到web的mstsc，看个图就清楚了

80端口穿防火墙！但是这儿内网也是不能用，所以我猜测是交换机到的鬼！这个穿透的是我的电脑和web服务器，而不是web服务器和数据可服务器！ www.2cto.com
   于是乎我有测试了ipc$ ftp都是不行的，狗日的估计就开了个80和89，应为89是连接mssql的数据库端口！既然web->db不行那我db->web试试！结果也是一样的！
   db服务器没有web环境所以reDuh也是没有办法的！fans同学说用mssql写vbs执行，但是想往db服务器下载东西vbs也需要ftp！即使种了木马进去，估计没法连接！
   既然db没法，库mssql也脱不掉，那换一个其中有一个服务器与web服务器有共享但是需要密码！我查看过db服务器帐号，发现db和web有同一帐号，这个应该密码是一样的，于是忙着个大网站的解密，无果，彩虹表也无果（我就两个小的表，没有7.5g的，或者更大的）！
-----------------------------------------------------------------
我翻目录查到了serv-u这个东西但是我想修改配置文件，用echo命令不能输入|这个管道符，我有用
echo “xxx|xxx” >>xxxx.txt这样这个双引号也被加进去了！
然后 夜叉 同学帮忙写了个去引号的批处理，但是批处理里面有>>所以我也写不进去！