对一有防火墙机器的渗透

前几天群里的兄弟给了一个网站www.111.com，问我可不可以入侵。 一、踩点 ping www.111.com 发现超时，可以是有防火墙或做了策略。再用superscan扫一下，发现开放的端口有很多个，初步估计是软件防火墙。 二、注入 从 源文件里搜索关键字asp，找到了一个注入点。用nbsi注入，发现是sa口令登陆，去加了一个用户，显示命令完成。哈哈，看来管理员太粗心了。先上传一 个webshell，上传了一个老兵的asp木马，接下来的就是个人习惯了，我平时入侵的习惯是先上传webshell，然后再把webshell提升为 system权限，因为这样说可以说在入侵之时会非常的方便，我个人觉得这个方法非常好。 三、提升权限 先看哪些特权的：   得到：   把把asp.dll加进去：   然后用asp木马加个用户，显示命令完成。 四、TerminalService 接下来就是开3389了，用net start显示，发现已开了TS服务，但端口上没有3389，觉得可能是改端口了，但事实上它们欺骗我的感情。 我 用netstat -an察看了一下,发现有3389,再从net start 里发现是对方的防火墙搞的鬼。算了，上传个木马吧，上传了一个改了特征码的20CN反弹木马。然后用木马在GUI下关掉了防火墙，再用3389登陆器登了 上去。这里我这样做是因为我知道管理员一定不会在旁边，而对于这个时候，比较老道的方法大家可以用fpipe实现端口重定向，或者用 httptunnel，和黑防里面说的那样，不过我试过没有成功过一次。还有一种工具是despoxy，(TCP tunnel for HTTP Proxies)，大家有兴趣的话可以去试一下，它可以穿透http代理。 五、简单后门 1、改了FSO名，这样是让我自己享受，这个有system权限的马儿。 2、放了几个rootkit和几个网络上少见的后台。 3、我个从是不喜欢多放后台，觉得很烦。 六、sniffer 1.TS界面下，down了些嗅探器。先ARPsniffer图形的看了一下，没有一台内网机子。又看了一个外网，整个IP段都是。看来我的运行不错嘛。打开webdavscan查了一下，只有两三个IP是网站，而且是很小型的，接下来就没有什么动力了。